picasso

Dwie rzeczy nie zostały przetworzone: adresy startowe adware oraz wpisy proxy. Poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy start.qone8.com + nationzoom.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" /s Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie zrestartowało, bo w ogóle zadania nie wykonałeś. Katalog Logs to archiwum starych logów, tam się ani nie zagląda, ani nie uruchamia stamtąd FRST. Umieszczanie tam Fixlist bez sensu, bo tam nie ma FRST i nie znajdzie tego skryptu. Podany raport rzekomo wynikowy "Fixlog.txt" to żaden Fixlog tylko stara kopia głównego raportu FRST (usuwam). Napisałam wyraźnie: FRST działa ze ścieżki: Running from C:\Users\dell\Downloads I to tu masz zapisać plik fixlist.txt. Do powtórzenia punkt 3 + 4.

Fix wykonany. Skasuj z Pulpitu folder FRST, następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

"Obok" = w tym samym folderze skąd uruchamiasz FRST, czyli tu katalog Pobrane. Uruchomienie opcji Fix w FRST przetworzy plik fixlist.txt.

DelFix wykonał zadanie. Usuń z dysku plik C:\Delfix.txt.

Na przyszłość: przed użyciem AdwCleaner staraj się deinstalować poprawnie programy adware poprzez Panel sterowania i menedżery dodatków przeglądarek. Siłowe usuwanie AdwCleaner bez poprawej deinstalacji ma skutki uboczne. W Firefox jest nadal adware Term Tutor. W Google Chrome ostał się wpis startowy adware key-find.com. Do wykonania też inne drobne działania kosmetyczne. 1. Odinstaluj zbędnik Samsunga MyFreeCodec. AdwCleaner i tak go uszkodził. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hp&ts=1423678108&from=cor&uid=3219913727_198339_FC4977EE" FF Extension: Term Tutor - C:\Program Files (x86)\Mozilla Firefox\extensions\termtutor@termtutor.com [2014-09-30] FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2014-07-14] FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-791816818-133641517-823863757-1001\...\Run: [AdobeBridge] => [X] BootExecute: autocheck autochk * sdnclean64.exe Task: {1CD21A6C-C660-41A6-9BC1-51A3A25C9DD9} - System32\Tasks\{38FD681C-6ACE-4BDC-80FE-A1303C6F9BEB} => pcalua.exe -a C:\Users\Agata\Desktop\SAMSUNG_USB_Driver_for_Mobile_Phones.exe -d C:\Users\Agata\Desktop Task: {5132234E-FADF-4241-9132-EB1BBA664E00} - System32\Tasks\{6D77A065-5190-423B-BA37-63FA7C259E82} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\core\PDApp.exe" -c --appletID="DWA_UI" --appletVersion="2.0" --mode="Uninstall" --mediaSignature="{CFB770D7-8D43-1014-922B-CC2715FADE3F}" Task: {6A5C9C52-7047-4450-BD98-C3B0667AB843} - System32\Tasks\{6F01AF8D-3374-46FA-B84A-6ECA61E9A8C1} => pcalua.exe -a "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\Creative Cloud Uninstaller.exe" Task: {C4D4522E-9E8F-4745-90A0-491F88D6AD3B} - System32\Tasks\SmartShare => C:\Program Files (x86)\LG Software\LG Smart Share\SmartShareStart.exe AlternateDataStreams: C:\Users\Agata\Cookies:p7k0wbJ18B9nXI9KWldc1adb5 AlternateDataStreams: C:\Users\Agata\SkyDrive:ms-properties AlternateDataStreams: C:\Users\Agata\Ustawienia lokalne:u5FqsshdATzZdRYlrmKEt40pv AlternateDataStreams: C:\Users\Agata\AppData\Local:u5FqsshdATzZdRYlrmKEt40pv AlternateDataStreams: C:\Users\Agata\AppData\Local\Dane aplikacji:u5FqsshdATzZdRYlrmKEt40pv AlternateDataStreams: C:\Users\Agata\AppData\Local\PcpwOKxg:Ge17ll5YDZcwcmyNnd4cDg3g7S AlternateDataStreams: C:\Users\Agata\AppData\Local\Temporary Internet Files:F8YWWekuAL2NJBDE9idjjRBft C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\mntemp C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiP Data Recovery Tool C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\TEMP C:\Users\Agata\AppData\Roaming\ORAWZU C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ C:\Windows\System32\Tasks\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete HKCU\Software\Mozilla\SeaMonkey /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\key-find uninstall" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\lpoimibckejjdjcfbdnajaicnklhfplh /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na koniec: 1. Skasuj FRST z folderu "FixitPC prosba o skan". Popraw jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Cały system do aktualizaji. Stan obecny to brak SP1, IE11 i reszty łat: Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: Chrome)

Niestety, tak jak już mówiłam, z zaszyfrowanymi plikami nic nie jestem w stanie zrobić. Pliki HELP_DECRYPT z dysku D dokasuję. I prowadzono tu zadania w inny sposób niż zadałam. Fix FRST wygląda jak przetwarzany kilka razy lub coś na własną rękę usuwano przed jego użyciem. Nie wszystkie też zadania zostały wykonane. Kolejna porcja działań: 1. McAfee w ogóle nie usunięty. Jak mówiłam, w Trybie awaryjnym Windows (a nie normalnym) zastosuj McAfee Consumer Product Removal Tool. 2. Wystąpiły kolejne zmiany i na liście zainstalowanych odtworzył się YAC(Yet Another Cleaner!). Odinstaluj go via Panel sterowania, a nie za pomocą Revo. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis Vipre > Dalej. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [sBRegRebootCleaner] => C:\Users\NOWAK-LP\AppData\Local\Temp\RemoveVIPRE\sbrc.exe [200560 2012-05-23] (GFI Software) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-84699557-792703091-1178954015-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-84699557-792703091-1178954015-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-02-26] () S3 catchme; \??\C:\Users\NOWAK-LP\AppData\Local\Temp\catchme.sys [X] S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [X] C:\sh4_service.log C:\sh4ldr C:\shldr C:\shldr.mbr C:\spyhunter.log C:\Program Files\Enigma Software Group C:\ProgramData\AVAST Software C:\ProgramData\Spybot - Search & Destroy C:\Windows\system32\sbrc.dat C:\Windows\system32\CartSdkTestLog.csv C:\Windows\System32\DRIVERS\EsgScanner.sys C:\Windows\system32\Drivers\SbFw.sys C:\Windows\system32\Drivers\sbhips.sys C:\Windows\system32\vbox CMD: del /q /s D:\HELP_DECRYPT.* Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ConvertAd" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\gmsd_pl_55_is1" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IGS" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\igsc" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iSafe" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SmartWeb" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VOPackage" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WindowsMangerProtect" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\winzipper" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WordProser_1.10.0.6" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy problemy z połączeniem sieciowym nadal mają miejsce.

Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Vidalia] => "C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe" Tcpip\..\Interfaces\{0DE42E25-054D-425F-BC86-59392B66E805}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8 Tcpip\..\Interfaces\{3C6BEDAC-295D-4CCA-B7C0-D29B9025112B}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8,192.168.1.1 Tcpip\..\Interfaces\{CB5D6BA0-94D2-4A97-8CF9-B104A9ECE634}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8 Tcpip\..\Interfaces\{FEAE69A1-3628-4C7C-A8F7-4A9567B1A7A2}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8 CMD: netsh winsock reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, powstanie kolejny fixlog.txt - przedstaw go. 2. Ustaw DNS Windows (dla każdego z połączeń z osobna): KLIK. Wybierz opcję "Uzyskaj automatycznie". 3. Uruchom Malwarebytes Anti-Malware (przy instalacji odznacz trial) i wykonaj pełne skanowanie systemu. Jeśli coś znajdzie, dostarcz raport.

Tym razem wszystko wykonane. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zadania wykonane. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To zadaję zawsze na końcu po czyszczeniu systemu. W w/w przyklejonym temacie są linki do najnowszych wersji: KLIK.

DelFix wykonał co należy. Skasuj z dysku plik C:\Delfix.txt. To tyle z mojej strony.

Tu brak oznak infekcji, więc w tym przypadku problem raczej leży w firmowych zintegrowanych aplikacjach, czyli McAfee LiveSafe – Internet Security (bardzo rozbudowany i ingerencyjny pakiet, w Dzienniku zdarzeń błędy jego usług) oraz WebStorage (dysk "w chmurze" od ASUSa, element problematyczny i kolidujący z pracą eksploratora Windows). Proponuję rozpocząć od deinstalacji wymienionych programów. Po tym zrób nowy log FRST (włącznie z Addition) i podsumuj czy jest poprawa w działania systemu. Smart File Advisor to bardzo niepożądany program przejmujący skojarzenia plików, zintegrowany w instalatorze "wersji darmowej" Alcohol 120% / 50% (jest to robione za zgodą producenta Alcohola). Jest on wstawiony w instalatorze jako komponent "niezbędny" do działania Alcohola i nie można go nawet odznaczyć! Jedyny sposób, by zainstalować ten rodzaj wersji Alcohol bez tego zintegrowanego śmiecia, to wykonać instalację bez połączenia sieciowego. Obecnie w raporcie nie ma już śladów "advisora", jak mówię to nie on jest przyczyną problemów.

Wszystko wykonane. Ostatni Fix do FRST. Do Notatnika wklej: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\COMODO RemoveDirectory: C:\ProgramData\Comodo RemoveDirectory: C:\Users\bart\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\bart\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Czy notujesz jeszcze jakieś problemy? I drobne poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS CMD: del /q C:\Users\Robert\Downloads\xid7dghx.exe CMD: del /q C:\Users\Robert\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wykonane. Na zakończenie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz wymień obecną w systemie Java na najnowszą wersję: KLIK.

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Default\AppData\Local\Google RemoveDirectory: C:\Users\Kamil\AppData\Local\Comodo RemoveDirectory: C:\Users\Kamil\AppData\Local\Google\Chrome SxS Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Monia\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Nie, nie o to chodziło. Ja tylko mówiłam w czym był problem, że deinstalacja nie pomogła (w ogóle nie usuwała profilu Firefox). Reinstalacja Firefox była tu zresztą kompletnie zbędna, wystarczyło wykonać tylko reset ustawień (tworzy nowy profil). Zadania pomyślnie wykonane. Drobna poprawka. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Trend Micro RemoveDirectory: C:\Users\Karol\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\system32\TmInstall.log CMD: del /q C:\Windows\SysWOW64\TmInstall.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Wszystko wygląda OK. Jeszcze drobna poprawka na szczątki. Otwórz Notatnik i wklej w nim: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Users\Erni\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Erni\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Erni\Downloads\kkk9eugu.exe CMD: del /q C:\Users\Erni\Downloads\ComboFix.exe Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Pokaż go. Nowe logi z FRST nie są już potrzebne.

Zasady działu, tu jest zakaz podpinania się pod cudze wątki: KLIK. Post wydzielony w osobny temat. Co oznaczają te liczne pliki FRST "Addition"?! Usuwam zostawiając tylko jeden plik. Brak za to trzeciego obowiązkowego raportu FRST Shortcut. Domyślną przeglądarką jest Google Chrome, w raporcie brak oznak "Rollaround ads", co oznacza, że prawdopodobnie został zmodyfikowany któryś plik Chrome i trzeba wykonać reinstalację przeglądarki. Próbując rozwiązać problem używałeś wątpliwy program z czarnej listy - YAC (Yet Another Cleaner) - z daleka od niego. Działania o wykonania: 1. W systemie działa niepoprawnie odinstaloway McAfee SiteAdvisor. Do jego usunięcia zastosuj firmowy usuwacz McAfee Consumer Product Removal Tool. 2. Reinstalacja Google Chrome. Wyeksportuj tylko zakładki, odinstaluj Google Chrome, przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj ponownie przeglądarkę. Linki pobierania: KLIK. 3. Pozostałe korekty na wpisy puste i podobne. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 cpuz136; \??\C:\Users\dell\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 GENERICDRV; \??\C:\Users\dell\Downloads\amifldrv64.sys [X] R1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1367411196-3539214837-2270385853-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-1367411196-3539214837-2270385853-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-1367411196-3539214837-2270385853-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-1367411196-3539214837-2270385853-1001 -> {C6987843-B81D-4EFA-8B98-23D60807D099} URL = CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-02-09] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - http://clients2.google.com/service/update2/crx Task: {37987FDD-6E7A-4DD3-9AE0-7E926102E5F1} - System32\Tasks\{3369E3E3-1967-423F-87F5-9A4F8DCB8327} => pcalua.exe -a C:\Users\dell\AppData\Roaming\IDM\bin\chrome_uninstaller.exe C:\ProgramData\*.log C:\ProgramData\Malwarebytes C:\Users\dell\Downloads\yet_another_cleaner_sk_7196726.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Wprowadź jeszcze drobne poprawki na inne sfery: 1. Odinstaluj stare dziurawe wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.5.0 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3822821414-1150674880-4000428145-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-3822821414-1150674880-4000428145-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKU\S-1-5-21-3822821414-1150674880-4000428145-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 SearchScopes: HKLM-x32 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3822821414-1150674880-4000428145-1000 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3822821414-1150674880-4000428145-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 Task: {DA62F508-0DA2-4C66-B95B-E2518D853266} - System32\Tasks\{FD358D61-9936-48B2-BFAB-B186A641EA22} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=404 C:\Program Files (x86)\GUTAA83.tmp C:\Program Files (x86)\STOPzilla C:\ProgramData\STOPzilla! C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\pss\Core Temp.exe.Startup Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Dom^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Core Temp.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

W Firefox jest korespondujące rozszerzenie adware zamontowane. Ale to nie wszystko co się tu niedobrego dzieje. Próbując rozwiązać problem adware zainstalowałeś niepożądane programy-naciągacze SpyHunter 4 + YAC (Yet Another Cleaner). YAC wykonał również liczne przkierowania typu hijack na własną podejrzaną wyszukiwarkę we wszystkich zainstalowanych przeglądarkach. Do poczytania też te wątki na temat YAC: KLIK, KLIK. Wstępne działania: 1. Przez Panel sterowania odinstaluj SpyHunter 4, YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\KarmimyPL\PCAnalyzer.sys [X] Task: {214B756C-5FAE-4AF9-8CBA-77EFA027BC5C} - \Speedial No Task File Task: {393610A9-46B3-4643-ACB2-B7B086FA9F1B} - \RegClean Pro_DEFAULT No Task File Task: {46EB9739-0498-432C-AADC-807FF63D566F} - System32\Tasks\Opera scheduled Autoupdate 1405254120 => C:\Program Files (x86)\Opera\launcher.exe Task: {4DCB1DE4-1B4A-423F-A2EA-B610A0BD6AC2} - System32\Tasks\{07FAF33A-77D6-417F-BC46-524C01E77AE9} => pcalua.exe -a "C:\Users\Erni\Downloads\DirectX 9.29.1974.exe" -d C:\Users\Erni\Downloads Task: {6AB7CB66-FF63-45C7-B61A-FC0FE16A550C} - \RegClean Pro No Task File Task: {7284E983-14B1-4204-A7B6-F9035382F45E} - System32\Tasks\{7DA21BD2-5603-4E28-AD0F-B6CAF30B5C43} => pcalua.exe -a "I:\EGZAMIN ZAWODOWY ETAP PRAKTYCZNY\VirtualBox\VirtualBox-4.3.20-96997-Win.exe" -d "I:\EGZAMIN ZAWODOWY ETAP PRAKTYCZNY\VirtualBox" Task: {8F7677C5-5C56-4CD9-9EC2-DCF80C44E4A3} - System32\Tasks\{8FBC5879-38D2-44E8-AE37-CA136A4160EC} => pcalua.exe -a C:\Users\Erni\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=w3i -simple=1 Task: {9477188D-4782-4AA9-94F9-FE0C31E5B51A} - \RegClean Pro_UPDATES No Task File Task: {C0DB0230-3585-4743-8F23-5C38E922BBA7} - System32\Tasks\KarmimyPL => C:\Program Files (x86)\KarmimyPL\Karmimy.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2257826360-190355185-2570135872-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_21_ff&cd=2XzuyEtN2Y1L1Qzu0DyEtA0DyB0EtB0CtC0EyEyC0AzzyB0DtN0D0Tzu0SzzyBtDtN1L2XzutBtFtBtDtFtCtAtFyBtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EtBzztByDyE0AtGyDzz0ByCtG0D0C0ByEtGtDzztAtBtGtBtAzzzytBzzyCzz0E0BzyyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtDtByCzy0CyEtAtG0FyC0EyBtG0A0EtD0FtGzzyCzz0DtGtD0ByC0C0E0EyDtC0C0DtByD2Q&cr=125124226&ir= SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231291 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231291 SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231255 SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_21_ff&cd=2XzuyEtN2Y1L1Qzu0DyEtA0DyB0EtB0CtC0EyEyC0AzzyB0DtN0D0Tzu0SzzyBtDtN1L2XzutBtFtBtDtFtCtAtFyBtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EtBzztByDyE0AtGyDzz0ByCtG0D0C0ByEtGtDzztAtBtGtBtAzzzytBzzyCzz0E0BzyyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtDtByCzy0CyEtAtG0FyC0EyBtG0A0EtD0FtGzzyCzz0DtGtD0ByC0C0E0EyDtC0C0DtByD2Q&cr=125124226&ir= SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231255 Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-2257826360-190355185-2570135872-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" CHR DefaultSearchKeyword: Default -> YAC Safe Search CHR HKU\S-1-5-21-2257826360-190355185-2570135872-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - https://clients2.google.com/service/update2/crx C:\Users\Erni\AppData\Local\{051B6519-2CE0-42AE-8C49-4EB1DE7F4F18} C:\Users\Erni\AppData\Local\{919B14D4-D505-45E6-81A6-F22BF16C5CA3} C:\Users\Erni\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Erni\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Erni\Downloads\SpyHunter-Installer.exe C:\Users\Erni\Downloads\yet_another_cleaner_sk_7196755.exe C:\Windows\system32\Drivers\etc\hosts.bak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, CSS Reloader, FireFTP, Przelewy24, MEGA). 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy YAC Safe Search (search.yac.mx) i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak, widzę to adware tylko w Firefox. Reinstalacja Firefox nie pomogła zapewne dlatego, że nie zaznaczyłeś usuwania profilu z dysku. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare aplikacje i zbędniki firmowe: Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 12.0, ASUS WebStorage, MyFreeCodec, Trend Micro Titanium Internet Security. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Google\Chrome C:\Users\Karol\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Client Framework" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "Internet Manager. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W raportach widzę mocno podejrzane komponenty "InstallShield Updater" (usługa + skryptowe zadania Harmonogramu), które nie wyglądają wcale na to co nazwa sugeruje. Poza tym, jest tu jakieś proxy ustawione. W Chrome są też przy starcie otwierane dwa adresy adware. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {249C0560-71D5-4143-B9C6-E56CFE2BCFAA} - System32\Tasks\InstallShield Updater => Wscript.exe //nologo //E:jscript //B "C:\Users\R\AppData\Roaming\InstallShield Updater\updater.ini" Task: C:\Windows\Tasks\InstallShield Updater.job => Wscript.exeX//nologo //E:jscript //B C:\Users\R\AppData\Roaming\InstallShield Updater\updater.ini R2 Updater.exe; C:\Users\R\AppData\Roaming\InstallShield Updater\Updater.exe [36864 2014-12-15] (InstallShield) [File not signed] S3 GPU-Z; \??\C:\Users\R\AppData\Local\Temp\GPU-Z.sys [X] S3 t3; \SystemRoot\system32\drivers\t3.sys [X] ProxyServer: [HKLM-x32] => http://127.0.0.1:8080/proxy.pac AutoConfigURL: [HKLM-x32] => http://127.0.0.1:8080/proxy.pac CHR StartupUrls: Default -> "hxxp://start.qone8.com/?type=hp&ts=1382629367&from=cor&uid=HitachiXHDP725050GLA360_GEA534RJ07N65A07N65AX", "hxxp://www.nationzoom.com/?type=hp&ts=1388262092&from=ild&uid=HitachiXHTS545016B9A300_091008PB5B03QCJAJ4WGX" C:\Users\R\AppData\Roaming\InstallShield Updater Hosts: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy zgłoszeń nadal występują.