picasso

AdwCleaner znalazł tylko szczątki. Do wykonania: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku alternatywne nieaktywne profile Firefox: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573 C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xxxzw0ev.default [Nie usuwaj przypadkiem folderu ujnazjox.default-1444154322471 - to jest Twój bieżący profil.] 2. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Skanuj + Usuń i dostarcz wynikowy log z usuwania.

Podałaś mi jakiś potwornie stary log utworzony kilka lat temu przez archaiczną wersję AdwCleaner: # AdwCleaner v1.702 - Logfile created 07/17/2012 at 09:47:13 Dostarcz proszę najnowszy.

Za późno zedytowałam post i dwa zmodyfikowane przez hijackera skróty nie zostały naprawione. 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 RemoveDirectory: C:\ProgramData\9WdsManPro9 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. 2. Uruchom AdwCleaner. Wybierz tylko opcję Skanuj (nie używaj Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kolejna porcja zadań do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Crashhd; C:\Users\Admin\AppData\Local\Crsoft\crsvc.exe [185800 2015-09-25] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [458400 2015-10-06] (TODO: ) R2 WdsManPro; C:\ProgramData\OWdsManProO\WdsManPro.exe [442504 2015-10-06] (DTools LIMITED) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76309459.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76309459.sys => ""="Driver" HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444123955&z=5b2835e564fd33b41aee15dg6z8zbz9gdo5cem0z3m&from=cmi&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444123955&z=5b2835e564fd33b41aee15dg6z8zbz9gdo5cem0z3m&from=cmi&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} RemoveDirectory: C:\DrWeb Quarantine RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Feed Notifier RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\OWdsManProO RemoveDirectory: C:\Users\Admin\AppData\Local\Crsoft RemoveDirectory: C:\Users\Admin\AppData\Local\Google RemoveDirectory: C:\Users\Admin\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Admin\AppData\Roaming\shortCutStore RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Windows\System32\Tasks\Doctor Web CMD: del /q C:\task.vbs CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q C:\Users\Admin\Desktop\dqhvz4gw.exe CMD: del /q C:\Users\Admin\Desktop\tdsskiller.exe CMD: del /q C:\Users\Admin\Downloads\mi0y0pdr.exe CMD: del /q C:\Users\Admin\Downloads\bkxhyn0q.exe CMD: del /q C:\Users\Admin\Downloads\q774qvyd.exe CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Tym razem nieprzechodź w Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

To nie jest problem infekcji. Temat przenoszę. Skoro to komputer wykazujący niedobre objawy nawet po formatowaniu, to na diagnostykę do działu Hardware. Zasady działu: KLIK. PS. Na wszelki wypadek spytam: czy system był sprawdzany bez żadnego antywirusa na pokładzie?

Tak, ten instalator może zostać zastosowany.

Sądzę, że jest to wątek sprzętowy do analizy w dziale Hardware - dostarcza się tam inne dane orientowane sprzętowo. Wszystko gładko poszło, log wynikowy wygląda dobrze. Poprawki: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Pro Evolution Soccer 2013 > Dalej. 2. Napraw drobny błąd WMI w Dzienniku zdarzeń posługując się narzędziem Fix-it: KLIK. 3. AdwCleaner grzebał w Firefox. Proponuję go dla pewności przeczyścić dokładniej: Odłącz synchronizację (o ile włączona): KLIK. Menu Historia > Wyczyść historię przeglądania Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Otwórz Notatnik i wklej w nim: S4 sptd; C:\Windows\System32\Drivers\sptd.sys [320120 2014-06-01] (Duplex Secure Ltd.) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\McAfee Security Scan RemoveDirectory: C:\Users\Szef\AppData\Local\GG RemoveDirectory: C:\Users\Szef\Desktop\FRST-OlderVersion CMD: del /q C:\AVScanner.ini CMD: del /q C:\Users\Szef\Downloads\pctegmzx.exe CMD: del /q C:\Users\Szef\AppData\Roaming\PnkBstrK.sys CMD: del /q C:\Windows\System32\Drivers\sptd.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hidder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wgp" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 5. Zainstaluj najnowszą wersję Google Chrome. Link w przyklejonym: KLIK. 6. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Większość obiektów adware pomyślnie usunięta (niektóre się zregenerowały), ale tu definitywnie nadal prace nas czekają. Po pierwsze, ten komunikat może rzeczywiście pochodzić z jakiegoś zawieszonego w tle procesu deinstalacji, który blokuje kolejne. Zresetuj system. Następnie uruchom Menedżer zadań i upewnij się że w procesach nie działa msiexec.exe lub jakiś inny proces mający nazwy sugerujące procesy (de)instalacyjne (np. setup.exe, uninstall.exe). Ewentualnie widoczne procesy zabij. Po drugie, widzę na obrazku, że w trakcie tego procesu reagował rezydent Dr. Web. Prawdopodobnie uszkodził któryś deinstalator "neutralizując zagrożenia". Spróbuj ponowić próbę deinstalacji przy wyłączonym Dr. Web, choć mam wątpliwości czy to coś da w obecnym stanie. Jeśli uda się przeprowadzić deinstalacje, zrób nowe raporty FRST. Jeśli nie, poprzednie logi są wystarczające do kontynuacji i zajmę się siłowym usunięciem programów.

Tak sądziłam (log na to wskazywał), że problem "Ads by name" był już nieaktualny. Fix tym razem już dokończył sprawy. Nic więcej nie widać do usuwania. Kończymy: 1. Usuń ręcznie te obiekty z dysku: C:\MATS C:\Users\MAGDA\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe C:\Users\MAGDA\Downloads\program FRST 2. Skorzystaj z DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Reader: KLIK.

Nie odpowiedziałaś na pytanie: A Fix FRST nie został poprawnie wykonany, w związku z tym nie przetworzone pewne wejścia. Proszę porównaj zawartość mojego posta a plik Fixlog - skrypt został źle zapisany w Notatniku, przełamania linii. Np. w poście widać, że jest pojedyncza linia: IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com A w Notatniku zapisane w dwóch liniach: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com Powtarzaj nieudaną porcję zadania. Otwórz Notatnik i wklej w nim: Task: {F582B5A0-6807-4593-AA40-02B567A16FC1} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3679323292-2381456270-572968583-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 SearchScopes: HKU\S-1-5-21-3679323292-2381456270-572968583-1001 -> {98B4F0C1-E3B7-45CA-845E-48519D6FCDED} URL = IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\All MMO Games.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft C:\Users\MAGDA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Windows\System32\Tasks\netupodtep C:\Windows\system32\Drivers\etc\hp.bak DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\netupodtep Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BitTorrent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v abDocsDllLoader /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f [Tu jest 19 linii, przeklejenie ma zachować ten układ, nic nie może być "podzielone" do kolejnej linii.] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolewjny fixlog.txt. Przedstaw go.

Akcje zostały już podjęte w TDSSKiller - log twierdzi, że zostawiono domyślne akcje, zamiast przyznania Skip. TDSSKiller nie widzi tego zablokowanego obiektu, który GMER klasyfikuje jako "rootkit", a FRST nie potrafi do niego uzyskać dostępu. TDSSKiller wykrył inne rzeczy i nie będzie tu już używany do usuwania. Pierwsza porcja usuwania adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: E07249B R1 {b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64; C:\Windows\System32\drivers\{b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64.sys [48784 2015-10-05] (StdLib) R2 gyvixodu; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\hnsaBF84.tmp [203776 2015-10-05] () [brak podpisu cyfrowego] R2 lehicewu; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\jnskA760.tmp [181760 2015-10-05] () [brak podpisu cyfrowego] S2 NetTcpHandler; C:\Users\Admin\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [458400 2015-10-05] (TODO: ) R2 Update Web Amplified; C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe [460536 2015-10-05] () R2 Util Web Amplified; C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe [460536 2015-10-05] () R2 WdsManPro; C:\ProgramData\tWdsManProt\WdsManPro.exe [442504 2015-10-05] (DTools LIMITED) R2 WindowsMangerProtect; C:\ProgramData\9WinManPro9\ProtectWindowsManager.exe [708264 2015-08-17] (DTools LIMITED) R1 wwfd_vt_1_10_0_24; C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys [61312 2015-09-02] (WordWizard) R2 wwsvc_1.10.0.24; C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe [301656 2015-09-02] (WordWizard) R2 xoluboru; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\knspC6FD.tmp [346112 2015-10-05] () [brak podpisu cyfrowego] Task: {01850DB9-795D-41EE-B0C4-5242AD333CF9} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.exe [2015-10-05] (Cinema PlusV05.10) Task: {02F0F047-DDAC-44D7-8045-BBC27642C325} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {047553BA-E03A-4B40-BA0C-1C825F0E77ED} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-10_user => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-10.exe [2015-10-05] (Cinema PlusV05.10) Task: {07E80383-D18B-4AC8-9859-7AA9F4F050C5} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {45BE8743-9CC1-4E05-9ADA-83703A748B59} - System32\Tasks\MyBrowser => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe [2015-10-05] () Task: {47F8F3E7-CF9F-4F73-9C36-12DAC6B0EE0D} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.exe [2015-10-05] (Cinema PlusV05.10) Task: {4A9F7F78-DA08-4683-81F9-EBA0BED42B79} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-4 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-4.exe [2015-10-05] (Cinema PlusV05.10) Task: {6BA3F1A0-C70B-4B4C-95F2-B33CBCFBA75D} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.exe [2015-10-05] (Cinema PlusV05.10) Task: {70ED1F79-0B60-4BD1-80F2-42B8EA1DB06A} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5_user => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {748891BD-1EE0-4492-84C8-B787579ABEED} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe [2015-10-05] () Task: {826DF2FE-21CC-4C72-AA3C-A89A528F063F} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {A2EAEC6E-5D8D-4756-8725-D661EF00E3F1} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10_user => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10.exe [2015-10-05] (Cinema PlusV05.10) Task: {A9E3407B-5730-4DF5-AA87-C6885D5E2F30} - System32\Tasks\AmiUpdXp => C:\Users\Admin\AppData\Local\891\Updater.exe [2015-10-05] () Task: {BB72F97F-B528-437B-BDA2-7E156DBB84D3} - System32\Tasks\{28511603-1814-48B9-843A-AD3AD921E4E5} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor Task: {CE33C86C-9D85-436C-B85F-0AD03E841D75} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.exe [2015-10-05] (Cinema PlusV05.10) Task: {D38A480F-DB11-4877-81A9-394D7D46A2D3} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {D5D6FA99-2EC1-4729-8BB3-B3F4AA2BBCE7} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.exe [2015-10-05] (Cinema PlusV05.10) Task: {E53D6FE4-6B1D-4090-B03B-D36886CAFFC4} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5_user => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe [2015-10-05] (Cinema PlusV05.10) Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-10_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-10.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-4.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-4.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10_user.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5_user.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Admin\AppData\Local\891\Updater.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\MyBrowser.job => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe HKLM-x32\...\RunOnce: [update] => C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe [827339 2015-10-05] () HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\...\Run: [GoogleChromeAutoLaunch_3C42015D2638AD59A9C14E09DD1E3050] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe [770048 2015-05-11] (Crossbrowse) HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\...\Run: [GoogleChromeAutoLaunch_707AB4DC4851505403C8FD2DF14CF292] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe [636928 2015-08-29] (MyBrowser) Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-10-05] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573\extensions\deskCutv2@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1444065645&z=b310cffeb6e6e55b72f1637g2zfzbzce4qfw1zfc1b&from=face&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1444065645&z=b310cffeb6e6e55b72f1637g2zfzbzce4qfw1zfc1b&from=face&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1 C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\9WinManPro9 C:\ProgramData\tWdsManProt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser C:\Users\Admin\AppData\Local\27DAD760-1444070982-11D9-BB64-5404A6A214B1 C:\Users\Admin\AppData\Local\891 C:\Users\Admin\AppData\Local\Prompt Downloader C:\Users\Admin\AppData\Roaming\istartsurf C:\Users\Admin\AppData\Roaming\mystartsearch C:\Users\Admin\AppData\Roaming\RunDir C:\Users\Admin\AppData\Roaming\NetService C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\Admin\Desktop\Prompt Downloader C:\Windows\system32\Drivers\{b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64.sys C:\Windows\system32\Drivers\E07249B.sys C:\Windows\System32\Drivers\wwfd_vt_1_10_0_24.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: AnySend, CinemaP-1.9cV05.10, CinemaPlus-3.2cV05.10, Crossbrowse, jogotempo 3.4, MyBrowser, Software Version Updater, Web Amplified, WordWizard 1.10.0.24. I czy Feed Notifier to była celowa instalacja? Jeśli coś nie będzie dało się odinstalować, nie szkodzi, zajmę się tym w inny sposób. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Ustaw Firefox jako domyślną przeglądarkę 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition i Shortcut, oraz GMER. Dołącz też plik fixlog.txt.

Stosowałeś wiele programów czyszczących (AdwCleaner, JRT, ComboFix), z żadnego nie ma raportów co było usuwane. Obecnie widzę tu tylko rozszerzenie adware CinemaP-1.9cV18.09 w przeglądarce Google Chrome. Do przeprowadzenia następujące operacje: 1. Przez Panel sterowania odinstaluj starsze wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Java 8 Update 51, Adobe Reader XI (11.0.12). 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj CinemaP-1.9cV18.09 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-373534036-2264740173-710954582-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-373534036-2264740173-710954582-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> URL hxxp://www.trovigo.com/Results.aspx?gd=&ctid=CT3310393&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SP75585FC2-946A-47A5-9406-9539259CBA05&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear Task: {06222C97-6E66-4EEF-B923-7532FC9AF232} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {12787241-90B8-4CB1-9B8C-8BD30CC06552} - System32\Tasks\{ED5008F4-A0F3-492A-8BC2-36443B1B6EEC} => pcalua.exe -a C:\Users\Gur1\Desktop\TL-WN422G_v2_100611\Setup.exe -d C:\Users\Gur1\Desktop\TL-WN422G_v2_100611 Task: {A633CE49-F393-439C-80CE-7407FEC241B2} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\Users\Gur1\AppData\Local\Mozilla C:\Users\Gur1\AppData\Local\Opera Software C:\Users\Gur1\AppData\Roaming\BitComet C:\Users\Gur1\AppData\Roaming\Mozilla C:\Users\Gur1\AppData\Roaming\Opera Software C:\Users\Gur1\AppData\Roaming\QUJreDgXLf C:\Users\Gur1\AppData\Roaming\Microsoft\Excel\a%20di%20alessi304666634142286040\a%20di%20alessi.csv.lnk C:\Users\Gur1\AppData\Roaming\Microsoft\Excel\a%20di%20alessi%20(1)304671013666581531\a%20di%20alessi%20(1).csv.lnk C:\Users\Gur1\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Gur1\Downloads\Niepotwierdzony*.crdownload C:\Users\Gur1\Links\GG dysk.lnk C:\Users\Gur1\Favorites\GG dysk.lnk C:\Windows\AutoKMS C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Gur1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występuje problem reklam.

W Google Chrome widać przekierowania searchinterneat-a.akamaihd.net oraz polityki blokujące funkcje Google Chrome. Prócz tego będą do usunięcia różne puste wpisy. Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj starsze wersje: Adobe Flash Player 18 ActiveX, Adobe Reader XI (11.0.12) - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4151507218-3838123134-1542459132-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4151507218-3838123134-1542459132-1000 -> OldSearch URL = hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-4151507218-3838123134-1542459132-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-4151507218-3838123134-1542459132-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF Plugin-x32: @mcafee.com/SAFFPlugin -> C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => nie znaleziono S2 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [X] U3 BcmSqlStartupSvc; Brak ImagePath U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 iATAgentService; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 nvUpdatusService; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerService; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 RtLedService; Brak ImagePath U2 SeaPort; Brak ImagePath U2 SoftwareService; Brak ImagePath U3 SQLWriter; Brak ImagePath U2 Stereo Service; Brak ImagePath C:\Program Files (x86)\GUM65D9.tmp C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\AVAST Software C:\Users\Czytnia1\AppData\Local\Mozilla\Firefox C:\Users\Czytnia1\AppData\Roaming\Mozilla\Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy searchinterneat-a.akamaihd.net oraz inne niedomyślne śmieci (o ile będą). Ustawienia > karta Ustawienia > Ustaw Google Chrome jako domyślną przeglądarkę Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Czytnia1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nic w logach nie wskazuje na problemy infekcji. Z raportów nic nie wynika. Jedyne co tu cokolwiek sugeruje, to różne błędy w Dzienniku zdarzeń: Sugestie: 1. Wyłączenie obiektów Samsunga, które są zgłaszane na błędach (Samsung Marker i Easy Settings), przy czym wyłączenie "Easy settings" spowoduje brak Samsungowych menu spod klawiszy funkcyjnych. Uruchom Autoruns i w karcie Scheduled Tasks odznacz to wszystko: Task: {146805B9-D819-4311-A7AB-F49705401CD8} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe Task: {326C9A75-8F92-4E6C-86BA-A97FD030AC0A} - System32\Tasks\SWUpdateAgent => C:\Program Files (x86)\Samsung\SW Update\SWMAgent.exe [2012-08-24] (Samsung Electronics CO., LTD.) Task: {51E78103-3603-44BC-9BAA-07FB4EDE95C9} - System32\Tasks\Settings => C:\Program Files (x86)\Samsung\Settings\sSettings.exe [2012-08-26] (Samsung Electronics CO., LTD.) Task: {539F9EBA-DFAD-4591-8D57-1C10F6CD48CC} - System32\Tasks\MakeMarkerFile => %ProgramData%\MakeMarkerFile.exe Task: {EF4F3440-E4A2-4207-B65E-5ACC5C2A3C61} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe [2012-08-17] (Samsung Electronics CO., LTD.) W karcie Services odznacz Easy Launcher. Zresetuj system. 2. Sprawdzenie poprawności plików systemowych poleceniem. Klawisz z flagą Windows + X > Wiesz polecenia (administrator) > wklep sfc /scannow i ENTER. 3. W przypadku braku rezultatów odświeżenie Windows 8.1: KLIK.

Temat przenoszę do właściwego działu Windows. Brak jakichkolwiek oznak infekcji. Z raportów nic kompletnie nie wynika. Czy problem po stronie dostawcy został wykluczony? Widzę na dysku FixMouseLMB.exe, czyli Left Mouse Button Fix, o którym wspominałam w innym temacie. Mam rozumieć, że jeśli program jest uruchomiony, podwójne kliki i tak się wykonują? Myszka chodzi na sterownikach Microsoftu czy producenta zewnętrznego? Czy próbowałeś zmienić sterowniki? Na razie przychodzi mi do głowy diagnostyka w tym artykule (z pominięciem tego co już próbowałeś): KB266738.

Temat przenoszę do działu Windows. Brak oznak infekcji i bardzo wątpliwe, by to był ten obszar ingerencji. 1. Jeśli chodzi o Firefox i akcelerację sprzętową, to problemem są prawdopodobnie sterowniki graficzne nVidia. Twoje są bardzo stare - daty w logu sugerują rok 2011. Aczkolwiek nie jest pewne czy aktualizacja cokolwiek rozwiąże. NVIDIA Sterownik graficzny 267.54 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 267.54 - NVIDIA Corporation) 2. W Dzienniku zdarzeń rzuca się wielokrotnie nagrany błąd sugerujący uszkodzenia rejestru konta użytkownika: Dziennik Aplikacja: ================== Error: (10/03/2015 04:04:58 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Proponuję dla testu założyć nowe konto użytkownika, zalogować się na nie i sprawdzić czy tam występują określone problemy. PS. Skoro o "lukach" było zagajane, to trzeba się pozbyć tych dziurawców z systemu: Adobe AIR, Java 7 Update 17 (64-bit), Java 7 Update 17, Java™ SE Development Kit 7 Update 1 (64-bit).

Temat przenoszę do właściwego działu Windows. To nie jest problem infekcji. Temat założony dawno, więc mogę mieć już nieadekwatne dane. Odnosząc się do stanu widocznego w raportach z tamtego okresu czasowego: 1. Był uruchamiany GMER, więc od razu sprawdź transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Tragiczny próg wolnego miejsca na dysku systemowym, co jest jedną z głównych przyczyn dla zawieszania, zamulenia i innych fajerwerków: Drive c: () (Fixed) (Total:14.65 GB) (Free:1.5 GB) NTFS ==>[drive with boot components (Windows XP)] To musi zostać rozwiązane w pierwszej kolejności. Został zadany Fix zawierający komendę EmptyTemp:, co pewnie nieco zmieniło statystyki. Dokładniejsza analiza stanu bieżącego za pomocą programu SpaceSniffer . 3. W Dzienniku zdarzeń kupa błędów: ----> Zawieszenia usługi Microsoft LifeCam, co jak najbardziej może produkować objawy z haltem startu: System errors: ============= Error: (08/16/2015 10:43:42 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa MSCamSvc zawiesiła się podczas uruchamiania. W raporcie FRST jej nie widać, ale FRST ma domyślnie bardzo mocne filtrowanie i zapewne usługa jest ukryta. Tu nie za bardzo jest pole do manewru, jeśli oprogramowanie ma być aktywne. Na razie przetestuj czy deaktywacja tej usługi w services.msc poprawia kondycję startową. ----> Problemy z ładowaniem konta systemowego: Application errors: ================== Error: (08/15/2015 03:37:54 PM) (Source: Userenv) (EventID: 1500) (User: ZARZĄDZANIE NT) Description: System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu. Jeśli ten problem będzie się powtarzać, skontaktuj się z administratorem sieci. SZCZEGÓŁY - Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. Error: (08/15/2015 03:37:54 PM) (Source: Userenv) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Najczęstszą tego przyczyną jest za mało pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. for C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\\UsrClass.dat Nie jest tu wykluczony wpływ małej ilości miejsca na dysku lub interferencji Avast. 4. No i wreszcie, sam Avast per se może powodować te objawy startowe. Masz zainstalowaną wersję PPAPI, która współpracuje tylko z przeglądarkami operującymi na silniku Blink/Chromium (czyli tu Opera): Adobe Flash Player 17 PPAPI (HKLM\...\Adobe Flash Player PPAPI) (Version: 17.0.0.134 - Adobe Systems Incorporated) Aplikacje używające innych silników potrzebują albo wersji ActiveX, albo NPAPI. Popatrz do przyklejonego: KLIK.

Gedo ShellBags to inny obszar niż raportowany. tada44 Temat przenoszę do właściwego działu, czyli Windows. To nie jest problem infekcji. PS. Do deinstalacji Ace Stream Media - ten program ma wbudowany moduł adware w playerze, aktywowany po predefiniowanym czasie. Program ten nie ma nic wspólnego z Twoim problemem głównym. Offline files to natywny wpis Windows i nie zależy go ruszać. Tutaj eksport rejestru z mojego systemu Windows 10: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\7-Zip] @="{23170F69-40C1-278A-1000-000100020000}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\Library Location] @="{3dad6c5d-2167-4cae-9914-f99e41c12cfa}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\Offline Files] @="{474C98EE-CF3D-41f5-80E3-4AAB0AB04301}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\PintoStartScreen] @="{470C0EBD-5D73-4d58-9CED-E91E22E23282}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}] @="Start Menu Pin" To samo, lecz widziane w Autoruns w karcie Explorer po odznaczeniu w menu Options pozycji Hide Windows Entries: Jeśli chodzi o inne zgłaszane wpisy, które nie są domyślne: - Klasa {4A7C4306-57E0-4C0C-83A9-78C1528F618C} należy do Real Player Cloud. - Raportujesz obecność 7-zip oraz Notepad++ (ANotepad++64), które ponoć nie były instalowane. Obecność wpisów "znikąd" wydaje mi się niemożliwa. Na razie nie widzę innej możliwości, niż ta te programy były jednak kiedyś instalowane i zostały usunięte, a to co jest w CCleaner to szczątki. Czy ten Windows 10 to czysta instalacja czy upgrade z wcześniejszego systemu? Podaj precyzyjne dane na temat menu kontekstowych, bo FRST w ogóle nie skanuje tej strefy, a w opisie jest mocny chaos: 1. W CCleaner w karcie Menu kontekstowe podświetl wszystkie wpisy i zapisz do pliku TXT, raport przeklej do posta. 2. Zrób log z Autoruns - w menu zapisu pliku przestaw z arn na format TXT. 3. I jeszcze dodatkowy eksport kluczy. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers /s Reg: reg query HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers /s Reg: reg query HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers /s Reg: reg query HKLM\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers /s Reg: reg query HKLM\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Ów "Fix" kompletnie bez znaczenia dla opisywanego stanu systemu: usunięcie wybrakowanej usługi firewalla ESET, usunięcie plików DMP generowanych przez BSOD (nie da się już zdiagnozować poprzednich BSOD) i czyszczenie Tempów. Ale ten wpis ESET prawdopodobnie nie powinien być usuwany przy czynnym ESET. Nie zostałeś poproszony o wyniki Fixlog, które by pokazały czy w ogóle coś się wykonało. 1. Zwykle w przypadkach z problemami wydajności oraz operatywności sieci podejrzane jest oprogramowanie zabezpieczające ingerujące w te strefy. Tu ESET NOD32 Antivirus. Upewnij się, że nie jest on przyczyną problemów wykonując testową deinstalację. Deinstalacja to pełny test ucinający. 2. "Laptop nie jest przeładowany" - TOSHIBA, więc z biegu dużo zintegrowanych aplikacji TOSHIBA, które nie występują w standardowych niebrandowanych systemach. Mógłbyś rozważyć czy z wszystkich korzystasz i ewentualnie część odinstalować. Na razie jednak sugeruję skupić się na ESET, bo występują problemy z ładowaniem stron.

W instrukcji tworzenia raportu FRST w przyklejonym jest wyraźnie powiedziane, by nie zaznaczać opcji MD5 sterowniki, Pliki z 90 dni i Lista BCD. Logi są niepotrzebnie tak duże, więcej informacji nie wnosi nic do sprawy. W raportach brak oznak infekcji mogącej powodować to obciążenie i problem w ogóle nie wygląda na pochodną infekcji. Tylko drobnostki do wykonania: Na razie temat przenoszę do działu Windows, ale być może to problem sprzętowy. Sugestie pod kątem oprogramowania: 1. Koniecznie odinstaluj Spyware Doctor doinstalowany w celu "rozwiązywania problemów". To archaiczna (na dodatek scrackowana) wersja z ... 2008/2009 (!), bezużyteczna pod kątem bieżących zagrożeń, a tak stara, że może tworzyć duże problemy z operatywnością Windows. 2. Skoro jesteśmy przy oprogramowaniu zabezpieczającym, to bardzo inwazyjny Kaspersky Internet Security jest tu podejrzanym dla opisywanych efektów - może w trakcie bezczynności wykonywać jakieś operacje. Poza tym, posiadasz wersję 2015, która ma limitowane możliwości na Windows 10: KLIK. Czyli pierwszy krok to upewnienie się, że KIS nie jest przyczyną problemów. Najlepsza metoda weryfikacji to testowa deinstalacja. Kaspersky Internet Security (HKLM-x32\...\InstallWIX_{02FECEE0-16B2-43DB-BC3B-C844477FC142}) (Version: 15.0.2.361 - Kaspersky Lab) 3. Powyłączaj ze startu więcej elementów. Widzę, że na razie są wyłączone te: HKLM\...\StartupApproved\Run32: => "DivXUpdate" HKLM\...\StartupApproved\Run32: => "DivXMediaServer" HKLM\...\StartupApproved\Run32: => "LWS" HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\StartupApproved\StartupFolder: => "Logitech . Rejestracja produktu.lnk" HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\StartupApproved\Run: => "Skype" HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\StartupApproved\Run: => "join.me.launcher" W Menedżerze zadań Windows mógłbyś jeszcze wyłączyć te pozycje: HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [508240 2015-08-05] (Adobe Systems Incorporated) HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\Run: [DAEMON Tools Lite Automount] => C:\Program Files\DAEMON Tools Lite\DTAgent.exe [4468056 2015-06-18] (Disc Soft Ltd) HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\Run: [GoogleChromeAutoLaunch_92B141E5EA674B0870358FF1AF506704] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [815944 2015-09-24] (Google Inc.) HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\Run: [EADM] => D:\Origin\Origin.exe [3638768 2015-09-30] (Electronic Arts) Następnie w Autoruns w karcie Services także i te: R2 GfExperienceService; C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [1155192 2015-08-27] (NVIDIA Corporation) R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-08-24] (IObit) R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1872504 2015-08-27] (NVIDIA Corporation) R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe [5544568 2015-08-27] (NVIDIA Corporation) Alternatywnie, te usługi nVidia zostałyby usunięte całkowicie na skutek deinstalacji aktualizatora NVIDIA GeForce Experience 2.5.14.5 - to nie jest komponent niezbędny. W karcie Scheduled Tasks (cFosSpeedTR i AutoKMS to cracki): Task: {02926DED-FCD1-413D-80D5-FA9B44DA1D93} - System32\Tasks\EVGAPrecisionX => C:\Program Files (x86)\EVGA\PrecisionX 16\PrecisionX_x64.exe [2015-07-21] (EVGA Corp.) Task: {1525DD1A-7946-4466-88D5-3F2337ACE825} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2015-08-24] () Task: {240BC021-9290-4123-8F4D-AE750E4C7A11} - System32\Tasks\cFosSpeedTR => C:\PROGRA~1\CFOSSP~1\CFSTR.exe Task: {D2121B13-30C1-49E7-A3DE-1E3070BF5348} - System32\Tasks\cFos\Registration Tasks\Open Browser => Chrome.exe "http://www.cfos.de/en/cfosspeed/documentation/driver-not-loaded.htm?sw-10.09.2232&days=1" Task: {DCC120B5-B7A7-4B48-B4EB-49551E0F3E47} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-08-07] () Po deaktywacjach restart systemu.

FRST i inne narzędzia są zablokowane techniką Image File Execution Options. Proszę zmień nazwę pobranego pliku FRST na dowolną inną. FRST się uruchomi. Gdy dostarczysz logi z FRST, przejdę do właściwego usuwania.

W systemie rzeczywiście widać mocno podejrzany zablokowany sterownik (w GMER jako "rootkit") oraz skomasowany atak adware. W pierwszej kolejności należy zdefiniować co to za "rootkit". Uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i dostarcz log wynikowy. Jeśli nic nie wykryje, log zbędny.

To nie jest związane z infekcją. Raporty nie dostarczają żadnych konkretów pod kątem tego problemu. Ten czarny ekran pojawia się, gdy ma się załadować BIOS, czy już potem gdy ma się pokazać ekran z logo Windows? Pierwszy przypadek mógłby sugerować usterkę sprzętową, drugi ingerencję sterowników. Np. tu w starcie jest bardzo archaiczny sterownik (z 2001) od SekretNIKa G Data. Przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do developerskiej i jest konieczna jej reinstalacja od zera. Ale Google Chrome nawet nie można poprawnie odinstalować, zniknęły wszystkie skróty deinstalacyjne, brak Chrome w Panelu sterowania, brak skrótów w Menu Start. Na dodatek są też polityki blokujące w Google określone funkcje. W Firefox nic nie widać szkodliwego, ale efekt reklam we wszystkich przeglądarkach może pochodzić z infekcji DNS. Są tu izraelskie adresy DNS: KLIK + KLIK. Tcpip\..\Interfaces\{6F468DF3-9FC6-4D52-8807-B755750CA70A}: [NameServer] 199.203.131.145,82.163.143.167 Tcpip\..\Interfaces\{97CAEDFD-707E-4B2E-88A2-86625625E93A}: [NameServer] 199.203.131.145,82.163.143.167 Raport AdwCleaner jest zapisywany automatycznie bez interwencji użytkownika. Na dysku jest widoczny folder C:\AdwCleaner - czyli jest pusty i nie ma tam raportu? Przeprowadź następujące działania: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Przez Panel sterowania odinstaluj stare wersje Adobe AIR, Adobe Flash Player 12 ActiveX, Adobe Flash Player 18 NPAPI, Adobe Reader XI (11.0.12), Gadu-Gadu 10, Java™ 6 Update 22 oraz "firmowy PUP" McAfee Security Scan Plus. Jeśli nie są używane, to też stare programy szyfrujące / hasłujące dane: SekretNIK, WinGuard Pro 2012 beta. 3. Akcje tyczące Google Chrome: - Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. - Klawisz z flagą Windows + R i w polu Uruchom wklej komendę deinstalacji, pod x.x.x.x podstawiając wersję którą widzisz w tym folderze: "C:\Program Files\Google\Chrome\Application\x.x.x.x\Installer\setup.exe" --uninstall --multi-install --chrome --system-level Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj nowej wersji. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-1122351040-4140419860-1170980050-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130852533915636708&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1122351040-4140419860-1170980050-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130852533918366865&GUID=00000000-0000-0000-0000-000000000000 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 FF Plugin: @oberon-media.com/ONCAdapter -> C:\Program Files\Common Files\Oberon Media\NCAdapter\1.0.0.8\npapicomadapter.dll [brak pliku] FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\S-1-5-21-1122351040-4140419860-1170980050-1000: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.149\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Task: {263AA3FD-FF40-47AF-9FCF-003DD16BE238} - System32\Tasks\{362E2E8E-B3FB-4A8C-8955-7A2F80F9044F} => pcalua.exe -a "D:\Downloads\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10\Sims3EP10Setup.exe" -d "D:\Downloads\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10" Task: {599EF42A-7C31-4F79-B276-B56EDFC8390B} - System32\Tasks\{E572A56D-C2EF-4110-B361-7FC19042A64B} => Chrome.exe http://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {A0AA28F5-E19F-463B-A0CA-57A3F768A528} - System32\Tasks\{C66C4E78-573E-4B1D-95CE-A3302DF8DF93} => pcalua.exe -a "C:\Users\Szef\Downloads\Peggle_Deluxe_+_Crack\Peggle Installer.exe" -d C:\Users\Szef\Downloads\Peggle_Deluxe_+_Crack Task: {B5515103-D812-4BA1-B2F7-538FF49A057C} - System32\Tasks\{51C43854-E644-4E26-9D19-8286C6445670} => pcalua.exe -a F:\Autorun.exe -d F:\ Task: {C3902CD1-3645-4E1C-8A1C-2E5F7B67D6B5} - System32\Tasks\{4BD70306-B94B-4E3B-A954-EEACF3B924D0} => pcalua.exe -a M:\SETUP.EXE -d M:\ HKU\S-1-5-21-1122351040-4140419860-1170980050-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1122351040-4140419860-1170980050-1000\...\Policies\Explorer: [NoStartMenuMorePrograms] 0 S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 XDva401; \??\C:\Windows\system32\XDva401.sys [X] C:\Program Files\prefs.js C:\Program Files\Google\Chrome C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Pando Networks C:\Program Files\ReEipLIApp C:\Program Files\Smart File Advisor C:\ProgramData\pboojfacihcondefbgniobhljjfeabji C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{AA03CC9C-3478-42F5-9E72-988477750080} C:\ProgramData\Microsoft\Windows\GameExplorer\{F1D923DB-0499-4DEA-83FB-74AED6C3DBB9} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLMediaServer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Sports\UEFA EURO 2012 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Empire Total War C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ffdshow C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Peggle C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2013 Patch C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\T-Mobile Ekstraklasa Update C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia C:\Users\Szef\AppData\Local\Google\Chrome C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{42D7F12A-414B-415D-8E90-99CEB204147F} C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{4FBAD63F-4AD6-45D8-8BFF-C83FD26C2C7F} C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{94E5DE8F-5872-4D49-91CF-35D318333F2A} C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{EFAFA11F-04C0-470C-B844-C291239BA6A1} C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{F1D923DB-0499-4DEA-83FB-74AED6C3DBB9} C:\Users\Szef\AppData\Roaming\appdataFr2.bin C:\Users\Szef\AppData\Roaming\appdataFr25.bin C:\Users\Szef\AppData\Roaming\Azureus C:\Users\Szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALL Media Server.lnk C:\Users\Szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DC Universe Online Live.lnk C:\Users\Szef\Downloads\*.tmp C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\Tabs.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AxAutoMntSrv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IePluginService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\StarWindServiceAE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update GrabRez" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util GrabRez" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\winzipersvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Wpm" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pando Media Booster" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceMeterW" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Super Optimizer" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występują problemy z reklamami.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut, nie ma też raportu GMER. Infekcja "Ads by name" w Firefox powinna być zlokalizowana w sferze globalnej matrycy preferencji, tylko że log FRST w ogóle tego nie pokazuje. I widać, że Firefox był reinstalowany. Czy na pewno problem "Ads by name" nadal występuje w Firefox? Natomiast samoistna reinstalacja adware zapewne pochodzi z czynnego zadania "netupodtep" w Harmonogramie zadań. Na razie te działania do przeprowadzenia: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {F291F419-2A8C-4904-9D42-B4F0FB3AC087} - System32\Tasks\netupodtep => C:\Windows\system32\config\systemprofile\AppData\Local\Goldensoft [2015-10-01] () Task: {F582B5A0-6807-4593-AA40-02B567A16FC1} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe AppInit_DLLs: C:\ProgramData\Saophase\Keytom.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Saophase\Coffax.dll => Brak pliku S2 Saophase; C:\ProgramData\\Saophase\\Saophase.exe -f "C:\ProgramData\\Saophase\\Saophase.dat" -l -a S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3679323292-2381456270-572968583-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 SearchScopes: HKU\S-1-5-21-3679323292-2381456270-572968583-1001 -> {98B4F0C1-E3B7-45CA-845E-48519D6FCDED} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com C:\Program Files\Common Files\2efgtdgq.exe C:\Program Files\Common Files\i0veoalc C:\Program Files (x86)\Google C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Temp C:\Users\MAGDA\AppData\Local\Unodox.exe.config C:\Users\MAGDA\AppData\Local\Google C:\Users\MAGDA\AppData\Local\Tempfolder C:\Users\MAGDA\AppData\LocalLow\BitTorrent C:\Users\MAGDA\AppData\LocalLow\Company C:\Users\MAGDA\AppData\Roaming\BitTorrent C:\Users\MAGDA\AppData\Roaming\RunDir C:\Users\MAGDA\AppData\Roaming\shortCutStore C:\Users\MAGDA\AppData\Roaming\YouSendIt C:\Windows\system32\config\systemprofile\AppData\Local\Goldensoft C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BitTorrent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v abDocsDllLoader /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz pola Addition + Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Na razie pomiń Fix-it i przejdź do wykonania pozostałych akcji. Czekam na wynikowe logi.