picasso

Zaszyfrowane dane raczej nie powinny wyciec nigdzie, a zmian haseł na pewno nie wykonuj teraz, gdy działa infekcja. A jest tu spora kolekcja, nie tylko CryptoWall, ale także Sathurbot, Ropest i inne. Poza tym, ale to już szczegół w kontekście szyfratora danych, jest adware i malware w Firefox + adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja Chrome. Pytanie: czy Vidalia Bundle z Torem to Twoja celowa instalacja? Zaczynamy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Ocpics] => C:\Users\Kuba\AppData\Local\Ocpics\tmpF3F4.exe [264472 2015-02-17] (The Eraser Project ) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Oprzics] => regsvr32.exe C:\Users\Kuba\AppData\Local\Oprzics\ASMga215A.dll HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [usnzmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Kuba\AppData\Local\Ocpics\DataCD.dll HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [fsutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\fsutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [GoogleUpdate] => C:\Users\Kuba\AppData\Roaming\FrameworkUpdate\GoogleUpdate.exe [120320 2015-02-21] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [autoconv] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\autoconv.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [168448 2014-03-04] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [5555y555] => C:\Users\Kuba\AppData\Roaming\5555y555.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [wecutil] => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [168448 2014-03-04] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\CurrentVersion\Windows: [Load] C:\Users\Kuba\LOCALS~1\Temp\ccceoh.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-18\...\RunOnce: [Del13882996] => cmd.exe /Q /D /c del "C:\windows\TEMP\0.del" HKU\S-1-5-18\...\RunOnce: [Del19802392] => cmd.exe /Q /D /c del "C:\windows\TEMP\0.del" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\autoconv.lnk Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fsutil.lnk Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF32.dll No File FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File FF Plugin-x32: @pandasecurity.com/activescan -> C:\Program Files (x86)\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security, S.L.) CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {2B84E39A-9E12-4F6E-83E2-16F509B35920} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3839221274-3043303846-3843884880-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {348E0006-F45E-40B7-896B-3CC0E7297DCD} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [2014-03-04] () Task: {35A5B8FB-2838-418A-940A-234A8C682D8A} - System32\Tasks\{57B4245E-7230-476F-AAA1-0A63869F6E05} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {64FF4900-DF11-47A9-B1DC-A3A404CEF770} - System32\Tasks\{185500A7-E25E-4606-922A-BB38B5B4BE68} => pcalua.exe -a C:\Users\Kuba\Downloads\SetupDWGTrueView2012_32bit.exe -d C:\Users\Kuba\Downloads Task: {7BFE18D4-D541-4845-9469-A549DB101C18} - System32\Tasks\{E05F641C-C744-42F9-A595-57D3B8BDA61F} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {839EFA3E-9D7E-4C74-8B12-3FFCC3A51802} - System32\Tasks\{536E68D4-F40B-4225-80B0-CFFCFE1DF58B} => pcalua.exe -a C:\Users\Kuba\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {9DE88BAB-3699-4BEF-A16A-7B31155264A4} - System32\Tasks\{9F77A418-EA46-426E-9B32-36D8D5D93AFF} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {AC1E29C2-10F7-4454-B3FA-48266A31CB98} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3839221274-3043303846-3843884880-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {DCE64F9D-2E6B-4337-B1E1-C5AEB6944A40} - System32\Tasks\{F77D6037-6CD4-4292-83FE-7AE0DD1FB09A} => pcalua.exe -a E:\setup.exe -d E:\ U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S1 ujtzlwkw; \??\C:\windows\system32\drivers\ujtzlwkw.sys [X] C:\ProgramData\@system3.att C:\ProgramData\@system.temp C:\ProgramData\kjhy64.txt C:\ProgramData\systemskey.ini C:\ProgramData\Microsoft\Secure C:\Users\Kuba\AppData\Local\Ocpics C:\Users\Kuba\AppData\Local\Oprzics C:\Users\Kuba\AppData\Roaming\麽鎒駓覜 C:\Users\Kuba\AppData\Roaming\5555y555.exe C:\Users\Kuba\AppData\Roaming\Gadu-Gadu 10 C:\Users\Kuba\AppData\Roaming\FrameworkUpdate C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Kuba\Downloads\yet_another_cleaner_munbd.exe C:\windows\system32\Drivers\etc\hosts.txt Hosts: CMD: del /q /s C:\HELP_DECRYPT.* Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt zapisz obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Operacje z przeglądarkami: - Z Google Chrome wyeksportuj tylko zakładki. Odinstaluj przeglądarkę. Przy deinstalacji zaznacz Usuń także dane przeglądarki. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie Addition) oraz GMER. Dołącz też plik fixlog.txt.

Infekcja nie jest przyczyną restartów. Diagnostyka BSOD w punkcie 5 ogłoszenia: KLIK. Na razie nie instaluj żadnych antywirusów / firewalli, skoro występują autoresety, gdy to tylko zaciemni / pogorszy sprawę (antywirusy wprowadzają inwazyjne sterowniki). Trudno tu typować jakiś obiekt na oko - instalowałeś dużo w ostatnim czasie (Pandę i sterowniki sprzętowe), z tym że z Pandą jest coś nie tak, gdyż w GMER widać masowy brak dostępu do jej elementów. Jeśli chodzi o zdefektowaną Pandę oraz czyszczenie z adware/PUP, do przeprowadzenia następujące działania: 1. Odinstaluj cały zestaw Panda Cloud Antivirus, Panda Security Toolbar, Panda Security URL Filtering. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-13] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKU\S-1-5-21-3211495807-2250388596-1896275332-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\mystartsearch.xml StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1423827365&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File BHO-x32: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File HKLM-x32\...\Run: [] => [X] Task: {43BB09F0-C485-4664-84EE-25948177016C} - \GoogleUpdateTaskMachineUA No Task File Task: {57B907E2-EFAB-4357-AF5A-F30800B53B7C} - \{9D7E2E51-0FF5-4959-819D-A00F8223E75A} No Task File Task: {A6B77375-CDBB-487B-90B0-72FF5C526668} - \{03AC028F-6D69-4D38-A960-C87DF9C47C01} No Task File Task: {BDA1DEE0-2EE7-4979-A949-B0EE72BACEFE} - \GoogleUpdateTaskMachineCore No Task File Task: {E42B8748-E286-4B65-A9FF-FE91022D6948} - \{3D45F24C-9663-45CC-B231-66165FD576AE} No Task File Task: {EB33B7BF-844E-4A50-B49A-233460856312} - \Adobe Flash Player Updater No Task File C:\Program Files (x86)\globalUpdate C:\ProgramData\IHProtectUpDate C:\ProgramData\McAfee C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Adam\AppData\Local\CrashRpt C:\Users\Adam\AppData\Local\globalUpdate C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\Users\Adam\Downloads\*(*)-dp*.exe C:\Users\Adam\Downloads\Niepotwierdzony*.crdownload DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GOOBZOYouTubeAccelerator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PSUAMain CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na przyszłość: proszę nie manipuluj raportami, logi FRST to nie oryginały tylko zasejwowane ponownie pliki i to w złym kodowaniu (ANSI zamiast UTF-8 jak oryginał). Temat przenoszę do działu XP. W raportach nie widać żadnych oznak czynnej infekcji, a opisywany objaw w ogóle jej nie poświadcza - sam twierdzisz, że to występuje po mocnym obciążeniu zasobów. ==================== Memory info =========================== Processor: AMD Athlon(tm) 64 X2 Dual Core Processor 5600+ Percentage of memory in use: 58% Total physical RAM: 2046.42 MB Available physical RAM: 849.22 MB Total Pagefile: 3938.52 MB Available Pagefile: 2743.51 MB Total Virtual: 2047.88 MB Available Virtual: 1909.11 MB Moim zdaniem tu nie ma się co za bardzo dziwić. Jest tu "podstawowa" jak na dzisiejsze warunki i zadania z "graniem" ilość RAM (2GB), dużo uruchomionych procesów (bez uruchomienia nawet gry), inwazyjne aplikacje (Avast, firewall nVidia filtrujący ruch sieciowy). Wszystko stare: archaiczny system XP, więc i stare sterowniki producentów trzecich datowane na wiele lat wstecz (to może być problem), stare programy (w tym owe inwazyjne produkty, nVidia tak stara że szok). Ten proces "stij.exe" pochodził od adware SweetIM / SweetPacks, które rezydowało w systemie kupę czasu (to stare adware, daty na dysku wskazują, że instalacja była w 2012). Są tu jeszcze do czyszczenia odpadki adware, wszystkie przeglądarki zaśmiecone. Cała przeglądarka Google Chrome do reinstalacji: nie tylko jest w niej adware "paricechhop", ale na dodatek została przez adware przekonwertowana z wersji stabilnej do developerskiej, no i stara wersja. Działania do przeprowadzenia: 1. Był tu uruchamiany GMER. Na wszelki wypadek sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędniki: Adobe Reader X (10.1.10) - Polish, Adobe Shockwave Player 11.5, avast! Free Antivirus, Google Chrome, Japanese Fonts Support For Adobe Reader 8, Java™ 6 Update 24, MyFreeCodec (zbędnik Samsunga), NVIDIA ForceWare Network Access Manager. Proponuję też pozbyć się innych starych programów (DivX, Real, ....). Przed deinstalacją Chrome możesz wyeksportować zakładki, przy deinstalacji wybierz opcję Usuń także dane przeglądarki, resztę obiektów Google doczyści punkt poniżej. 3. Doczyszczenie pustych wpisów i skrótów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,,"C:\Program Files\Przyspiesz Komputer\PCSpeedUpNotifier.exe" HKU\S-1-5-21-796845957-1592454029-682003330-1004\...\MountPoints2: {60e15b73-77c5-11df-a235-001fc66da533} - J:\LaunchU3.exe -a HKU\S-1-5-21-796845957-1592454029-682003330-1004\...\MountPoints2: {d103bb72-94b0-11de-ba15-806d6172696f} - I:\Setup.exe AppInit_DLLs: c:\progra~1\pc_boo~1\assist~1.dll => c:\progra~1\pc_boo~1\assist~1.dll File Not Found CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424293725&from=cor&uid=SAMSUNGXHD322IJ_S1UZJ90Q902339&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424293725&from=cor&uid=SAMSUNGXHD322IJ_S1UZJ90Q902339&q={searchTerms} HKU\S-1-5-21-796845957-1592454029-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 Toolbar: HKLM - No Name - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKLM - No Name - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No File Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No File Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\Web Assistant\Firefox FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF HKLM\...\Firefox\Extensions: [{8E9E3331-D360-4f87-8803-52DE43566502}] - C:\Program Files\Web Assistant\Firefox FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\2vyijf3g.default\extensions\searchengine@gmail.com FF HKLM\...\Thunderbird\Extensions: [{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension Task: C:\WINDOWS\Tasks\1-Click Maintenance.job => C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\Piotr\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Task: C:\WINDOWS\Tasks\RMSchedule.job => C:\Program Files\Registry Mechanic\RegMech.exe S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; No ImagePath S3 XDva369; \??\C:\WINDOWS\system32\XDva369.sys [X] S3 XDva375; \??\C:\WINDOWS\system32\XDva375.sys [X] S3 XDva380; \??\C:\WINDOWS\system32\XDva380.sys [X] S3 XDva383; \??\C:\WINDOWS\system32\XDva383.sys [X] S3 XDva385; \??\C:\WINDOWS\system32\XDva385.sys [X] S3 XDva386; \??\C:\WINDOWS\system32\XDva386.sys [X] S3 XDva389; \??\C:\WINDOWS\system32\XDva389.sys [X] S3 XDva390; \??\C:\WINDOWS\system32\XDva390.sys [X] S3 XDva391; \??\C:\WINDOWS\system32\XDva391.sys [X] S3 XDva392; \??\C:\WINDOWS\system32\XDva392.sys [X] S3 XDva393; \??\C:\WINDOWS\system32\XDva393.sys [X] S3 XDva394; \??\C:\WINDOWS\system32\XDva394.sys [X] S3 XDva396; \??\C:\WINDOWS\system32\XDva396.sys [X] S3 XDva397; \??\C:\WINDOWS\system32\XDva397.sys [X] S3 XDva398; \??\C:\WINDOWS\system32\XDva398.sys [X] S3 XDva399; \??\C:\WINDOWS\system32\XDva399.sys [X] S3 XDva401; \??\C:\WINDOWS\system32\XDva401.sys [X] S3 XDva404; \??\C:\WINDOWS\system32\XDva404.sys [X] S3 XDva405; \??\C:\WINDOWS\system32\XDva405.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{FBB02955-6A01-4157-86A8-39867631C050} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EA052880-EE58-46AC-A768-582D69211223} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{D703C64F-5FAA-4076-8BAE-A2680594266F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CAC1E8A1-8F81-412A-AFEA-5F2CCAF0ACEA} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C030DFFE-156B-4851-9FB7-6B467340ADC4} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{BD11A5D7-22EB-44F1-996B-D9515B3BA20D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{AA5A91B4-FAF6-4033-A0F3-E31F93E1BD19} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8B3FF5C0-1B3D-4A7B-B0D3-1410B91DD450} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{87FC6690-84B6-4770-A3A6-3973F29C96BA} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{7D5714F3-34B5-46D4-B786-A40DE01920E8} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6A376A30-D89C-4049-AC20-53F0AB0C021A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6409B05C-250A-436C-A2BD-3AF56BCD5AC5} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{5539EA54-B8FE-4DD4-9475-CE8CA4158A60} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{48D5EEAA-B4C9-41F1-BACD-9184C47E81B3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{428D31F5-B2E9-4718-B097-4A17BB311139} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3C4E1F34-F217-452C-B8D5-CB9E4A8A03EB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3B99B450-21FD-43F9-8378-D3CF15B43CB7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{366F6910-AA20-4FBB-A15A-929E216508A6} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{361125A4-A92A-482B-9BFA-7BE47DB0880A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{276F5C90-9CDF-4460-9C5A-A87D427D9A9B} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{27234817-71F4-4C87-B62D-2A2E8DE4169A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{25A1E6A4-2DBD-4AC0-8650-8EA9A45B183D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{210B1A74-0C6A-4200-8A96-9B74E9531FEF} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{0333EE7F-6BA4-4387-901E-2DA2248670C0} C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Program Updates.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Goat Simulator C:\Documents and Settings\All Users\Menu Start\Programy\Cheat Engine 6.1 C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Photoshop 5.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Register Photoshop 5.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Photoshop 5.0 C:\Documents and Settings\Piotr\*.exe C:\Documents and Settings\Piotr\Menu Start\Programy\Counter Strike 1.6 C:\Documents and Settings\Piotr\Menu Start\Programy\Counter-Strike 1.6 [PL] SznaJK3r C:\Documents and Settings\Piotr\Menu Start\Programy\KraiSoft Entertainment C:\Documents and Settings\Piotr\Menu Start\Programy\San Andreas Multiplayer C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Adobe Reader 9.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Nero StartSmart Essentials.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Nokia Ovi Suite.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Adobe Reader 7.0.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Counter-Strike 1.6 PL [NS].lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\DivX Converter.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\EA Download Manager.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\GTA III.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Nero Home Essentials SE.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Uaktualnienie online pakietu Nero.lnk C:\Documents and Settings\Piotr\Pulpit\GRY SZYMON\*.lnk C:\Documents and Settings\Piotr\Pulpit\Michał\Launch LEGO® Indiana Jones™ 2.lnk C:\Documents and Settings\Piotr\Pulpit\Michał\LEGO Star Wars.lnk C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Program Files\Perion C:\Program Files\pricechhop C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{32148148} CMD: netsh firewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji Avast i zapory Nvidia jest poprawa.

Wszystko wykonane. 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] SearchScopes: HKLM-x32 -> DefaultScope value is missing. RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wyniki.

Przecież to robił skrypt do FRST. Skrypt wykonany. Czy są jeszcze jakieś problemy w systemie?

W raporcie FRST nie było żadnych szkodliwych procesów: ==================== Processes (Whitelisted) ================= (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (Microsoft Corporation) C:\Windows\System32\dasHost.exe (Malwarebytes Corporation) D:\Malwarebytes Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) D:\Malwarebytes Anti-Malware\mbamservice.exe (TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe (Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe (Malwarebytes Corporation) D:\Malwarebytes Anti-Malware\mbam.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (Microsoft Corporation) C:\Windows\System32\dllhost.exe (Intel Corporation) C:\Windows\System32\igfxtray.exe (Intel Corporation) C:\Windows\System32\hkcmd.exe (Intel Corporation) C:\Windows\System32\igfxpers.exe (Intel Corporation) C:\Windows\System32\igfxsrvc.exe (Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe Failed to access process -> Service_KMS.exe (Spotify Ltd) C:\Users\kolorowyguzik\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Microsoft Corporation) C:\Windows\System32\StikyNot.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Trudno mi się odnieść do sprawy nie wiedząc co właściwie zabiłaś w menedżerze, ale akcja zdaje się być "podejrzana". Czy po restarcie systemu na pewno problem nadal nie ujawnia się?

Kolejna porcja zadań: 1. Przez Panel sterowania odinstaluj adware mystartsearch uninstall, Wajam. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-14] (SysTool PasSame LIMITED) ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:49752;https=127.0.0.1:49752 ProxyEnable: [s-1-5-21-3928150652-2756980015-3035233101-1000] => Internet Explorer proxy is enabled. ProxyServer: [s-1-5-21-3928150652-2756980015-3035233101-1000] => http=127.0.0.1:49752;https=127.0.0.1:49752 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 OPR StartupUrls: "hxxp://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680" StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKU\S-1-5-21-3928150652-2756980015-3035233101-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKU\S-1-5-21-3928150652-2756980015-3035233101-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) C:\Program Files (x86)\G Data C:\Program Files (x86)\Wajam C:\Program Files (x86)\WajNEnhance C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WajNEnhance C:\ProgramData\WindowsMangerProtect C:\Users\User\AppData\Roaming\mystartsearch Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut. Dołącz też plik fixlog.txt.

Tytułowy WindowsMangerProtect nie jest tu problemem, tego już nie ma w systemie (nie widać usługi w raporcie FRST). Spowolniony komputer to raczej tu jest na własne życzenie. Zainstalowałeś bardzo niepożądany program YAC (Yet Another Cleaner). Ten program jest podejrzany, jest traktowany jako instalacja typu "PUP" = Potencjalnie Niepożądany Program, na dodatek jego pobyt w systemie może powodować problemy. Przykłady z forum: KLIK, KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1420721377&from=cor&uid=ST1000LM014-SSHD-8GB_W3822FDQXXXXW3822FDQ C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Default\Preferences HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - No File Filter: Class Install Handler - {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\Windows\System32\urlmon.dll (Microsoft Corporation) Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - No File Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - No File Filter: lzdhtml - {8f6b0360-b80d-11d0-a9b3-006097942311} - No File Task: {1A83FC83-1305-463E-BC60-13BB481999C5} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" AlternateDataStreams: C:\WINDOWS\explorer.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\aclui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\ActionCenter.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\adhsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AppxPackaging.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AppxSip.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AppxSysprep.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\audiodg.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AudioEndpointBuilder.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AudioEng.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AUDIOKSE.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AudioSes.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\audiosrv.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\bcryptprimitives.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\BluetoothApis.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\browser.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\ci.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\clusapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\comdlg32.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\conhost.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\d3d10warp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\dab.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Defrag.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\defragsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Display.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\dwmapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\EncDump.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Faultrep.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\GdiPlus.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\gpedit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\gpsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\httpprxm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\iasnap.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\iphlpsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDBASH.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDRU.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDRU1.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDRUM.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDTAT.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDTT102.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDYAK.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mfcore.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mfplat.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mfps.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mfreadwrite.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mftranscode.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mispace.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mstscax.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\ncsi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\netcfgx.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\nlaapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\nlasvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\osk.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\powercfg.cpl:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PrintDialogs.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\printui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\profsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\rdvidcrl.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\rsaenh.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SearchFolder.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SettingSync.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SHCore.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SndVol.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SndVolSSO.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\spoolsv.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SRH.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\srvsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\stobject.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\storagewmi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SystemSettingsAdminFlows.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SystemSettingsAdminFlowUI.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\tcpmon.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\TSWbPrxy.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\twinapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\uDWM.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\usbmon.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\UXInit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\VAN.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wcmcsp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WdfCoInstaller01009.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WebClnt.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wer.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\werdiagcontroller.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WerFault.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WerFaultSecure.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wermgr.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WiFiDisplay.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.ApplicationModel.Store.TestingFramework.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.Devices.Bluetooth.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.Media.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.Networking.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Search.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Xaml.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winload.efi:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winload.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winmm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winmmbase.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winresume.efi:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winresume.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winspool.drv:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wisp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlanapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlanmsm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlansec.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlansvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlansvcpal.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WMVDECOD.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WorkfoldersControl.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WorkFoldersGPExt.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WorkFoldersShell.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\workfolderssvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wpdbusenum.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WSDMon.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wsecedit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wshbth.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WSShared.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wuapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wuauclt.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wuaueng.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wucltux.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wudriver.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wups.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wups2.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WUSettingsProvider.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wwanconn.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wwanmm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\XpsPrint.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\aclui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\ActionCenter.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AppxPackaging.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AppxSip.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AudioEng.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AUDIOKSE.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AudioSes.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\bcryptprimitives.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\BluetoothApis.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\clusapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\comdlg32.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\d3d10warp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Display.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\dwmapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\explorer.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Faultrep.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\GdiPlus.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\gpedit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\iasnap.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDBASH.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDRU.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDRU1.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDRUM.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDTAT.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDTT102.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDYAK.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mfcore.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mfplat.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mfreadwrite.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mftranscode.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mispace.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mstscax.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\netcfgx.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\nlaapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\osk.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\powercfg.cpl:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\PrintConfig.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\PrintDialogs.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\printui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\rdvidcrl.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\rsaenh.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\SettingSync.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\SHCore.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\SndVol.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\SRH.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\stobject.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\storagewmi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\UXInit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\VAN.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WebClnt.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wer.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\werdiagcontroller.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WerFault.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WerFaultSecure.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wermgr.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.ApplicationModel.Store.TestingFramework.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Devices.Bluetooth.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Media.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Networking.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Search.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Xaml.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\winmm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\winmmbase.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\winspool.drv:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wisp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wlanapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wlanmsm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WMVDECOD.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wsecedit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wshbth.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WSShared.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wuapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wudriver.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wups.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\XpsPrint.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\ahcache.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\bridge.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthpan.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthport.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\hdaudbus.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\IPMIDrv.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\ks.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\mrxdav.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\mrxsmb20.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\msgpioclx.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndis.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\NdisImPlatform.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\ntfs.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\nwifi.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\pci.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\spaceport.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\srv.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\srv2.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\srvnet.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\usbccgp.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\usbhub.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\USBHUB3.SYS:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\volsnap.sys:$CmdTcID AlternateDataStreams: C:\Users\Paweł\OneDrive:ms-properties AlternateDataStreams: C:\Users\Paweł\Downloads\518b3a535433324039.jpg:$CmdZnID AlternateDataStreams: C:\Users\Paweł\Downloads\c4df8b58fef79c54667ddd12c12849d5.jpg:$CmdZnID AlternateDataStreams: C:\Users\Paweł\Downloads\moj-programik.txt:$CmdZnID AlternateDataStreams: C:\Users\Paweł\Downloads\universe-and-planets-digital-art-wallpaper-rise_1920x1200_70544.jpg:$CmdZnID C:\Program Files (x86)\Opera C:\Users\Paweł\AppData\Local\Opera Software C:\Users\Paweł\AppData\Roaming\Opera Software C:\Users\Paweł\AppData\Roaming\WebApp C:\Users\Paweł\Downloads\yet_another_cleaner_sk_6023153.exe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10}" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), z tym że dla opcji Internet odznacz Whitelist. Dołącz też plik fixlog.txt. Wypowiedz się jak działa system po likwidacji YAC.

Temat przenoszę do działu Windows. 1. Używanie systemowych gadżetów nie jest bezpieczne: KB2719662. Zamiennie możesz skorzystać z alternatywnych bogatszych programów w rodzaju RainMeter. Jeśli nadal chcesz korzystać z systemowego gadżetu Pogoda, to: 2. Po pierwsze, widzę tu włączone proxy w Internet Explorer (zostanie usunięte skryptem FRST w spoilerze). Po drugie, jeśli proxy nie ma związku, to prawdopodobnie sprawę rozwiąże drobny trik. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\MIKOLAJ\AppData\Local\Microsoft\Windows Live\Services\Cache Z prawokliku na plik Config.xml > Edytuj, po otworzeniu nie dokonuj żadnych zmian w pliku, ale go ponownie Zapisz. Po akcji zrestartuj gadżet Pogoda. Powinny się pojawić dane w gadżecie. PS. W spoilerze dodatkowe poboczne działania:

Dziecko uruchomiło jakiś "downloader" zamiast poprawnego instalatora, a log sugeruje, że pociecha szukała czegoś do gier. W systemie ładował się cały majdan adware, włącznie z tzw. rodzajem "MultiPlug" (UniDeals). "MultiPlug" zapisał w rejestrze plik który się uruchamiał i to prawdopodobnie był "downloader": CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> c:\Temp\bfea\temp\Minecrafr Force Op Hack v3.51.exe No File Cóż, mamy tu nadal dużo do czyszczenia, a adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana reinstalacja od zera. Akcja: 1. Przez Panel sterowania odinstaluj poszkodowane Google Chrome (od razu też Google Talk Plugin) oraz adware Remote Desktop Access (VuuPC). Przed deinstalacją Google Chrome możesz wyeksportować zakładki. Przy deinstalacji zaznacz Usuń także dane przeglądarki, a resztę doczyści mój skrypt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-11] () [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-11] () [File not signed] Task: {167C7DCC-40CC-4044-847F-A2DCACEB8FC4} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2015-02-11] () Task: {3F3F6A48-C96A-42B5-9287-99BE565F0227} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2015-02-11] () Task: {4A3BEC92-28D1-4FB1-8F7C-32F645F0F166} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-7 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-7.exe Task: {4ABF7B68-E47C-42A7-B17B-E118CECAA02F} - System32\Tasks\{7A6855CF-5C51-48F1-9B0C-95F6FB0419E0} => pcalua.exe -a "C:\Program Files\LG Electronics\LG Bluetooth Drivers\UninstallShld.exe" -d C:\windows\system32 -c C:\Program Files\LG Electronics\LG Bluetooth Drivers Task: {908C4B04-C417-4F67-B90F-ACFEB2417BCF} - System32\Tasks\{AA9ED550-E13D-497F-A98F-82B7833D76CC} => pcalua.exe -a C:\Users\dom\Desktop\Mozilla_download\smwin143pl.exe -d C:\Users\dom\Desktop\Mozilla_download Task: {AD55637F-0184-4561-817B-B71CD03FF25F} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-5 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-5.exe Task: {AE17D2CA-3C71-47AA-BDB9-8C3EBE2DCDA1} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-1-7 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-1-7.exe Task: {B0B9B7E9-922E-4FD3-A2CA-01722770C7D5} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-5_user => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-5.exe Task: {D2D9C35F-8E1F-410D-9674-2B105B14FCD8} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-1-6 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-1-6.exe Task: {DC3D3C6D-E066-4C36-8A24-22F0FADBD808} - System32\Tasks\WEEQSH => C:\Users\dom\AppData\Roaming\WEEQSH.exe [2015-02-11] () Task: {E3B0B2AA-F165-4636-BCD8-750D3D907899} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-4 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-4.exe Task: {F80DF942-3F79-4A20-81F1-0F74B988938E} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-6 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-6.exe Task: {F9B6BD70-BB60-46B3-B529-A546AB89FF5F} - System32\Tasks\STQBARY => C:\Users\dom\AppData\Roaming\STQBARY.exe [2015-02-11] () Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-1-6.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-1-6.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-1-7.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-1-7.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-4.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-4.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-5.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-5.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-5_user.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-5.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-6.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-6.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-7.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-7.exe Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\windows\Tasks\STQBARY.job => C:\Users\dom\AppData\Roaming\STQBARY.exe Task: C:\windows\Tasks\WEEQSH.job => C:\Users\dom\AppData\Roaming\WEEQSH.exe CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.25.11\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> c:\Temp\bfea\temp\Minecrafr Force Op Hack v3.51.exe No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423640401&from=wpc&uid=SAMSUNGXHM500JI_S20CJD0SC36258&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423640401&from=wpc&uid=SAMSUNGXHM500JI_S20CJD0SC36258&q={searchTerms} SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423640401&from=wpc&uid=SAMSUNGXHM500JI_S20CJD0SC36258&q={searchTerms} SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423640401&from=wpc&uid=SAMSUNGXHM500JI_S20CJD0SC36258&q={searchTerms} FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll () FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll () FF HKLM\...\Firefox\Extensions: [{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}] - C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B} FF HKLM\...\Firefox\Extensions: [{DF153AFF-6948-45d7-AC98-4FC4AF8A08E2}] - c:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\af9g5q5i.default-1416422001587\extensions\fftoolbar2014@etech.com AlternateDataStreams: C:\windows\system32\charmap.exe:$CmdTcID AlternateDataStreams: C:\windows\system32\mf.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\mferror.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\mfpmp.exe:$CmdTcID AlternateDataStreams: C:\windows\system32\mfps.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\rrinstaller.exe:$CmdTcID AlternateDataStreams: C:\windows\system32\tzres.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\WSManHTTPConfig.exe:$CmdTcID AlternateDataStreams: C:\windows\system32\WSManMigrationPlugin.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\WsmAuto.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\WsmSvc.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\WsmWmiPl.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\Drivers\tdx.sys:$CmdTcID C:\Program Files\1694585a-6eec-4f75-943f-2bb665d17916 C:\Program Files\globalUpdate C:\Program Files\Google C:\Program Files\RelayDefender C:\Program Files\UniDeals C:\Program Files\UUniDeals i C:\ProgramData\{*}.log C:\ProgramData\{18840fa2-3035-e0c7-1884-40fa23033e88} C:\ProgramData\{d50be457-e101-4565-d50b-be457e10915f} C:\ProgramData\308de2eb00001a67 C:\ProgramData\3686347444293087203 C:\ProgramData\njcdehncliogiphpkldcgfdgfhlnianj C:\Users\dom\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\dom\AppData\Local\nso53E3.tmp C:\Users\dom\AppData\Local\globalUpdate C:\Users\dom\AppData\Local\Google C:\Users\dom\AppData\Roaming\STQBARY C:\Users\dom\AppData\Roaming\STQBARY.exe C:\Users\dom\AppData\Roaming\WEEQSH C:\Users\dom\AppData\Roaming\WEEQSH.exe C:\Users\dom\AppData\Roaming\EZDownloader C:\Users\dom\AppData\Roaming\GoldenGate C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\dom\AppData\Roaming\VOPackage C:\Users\dom\AppData\Roaming\TheSettlersOnline111 C:\Users\dom\Downloads\Minecraft Force Op.zip C:\Users\dom\Downloads\Minecraft Force Op C:\Users\dom\Desktop\stary_pulpit\sony\*.lnk C:\Users\dom\Desktop\stary_pulpit\canon\Canon MP550 series Podręcznik ekranowy.lnk C:\Users\dom\Desktop\stary_pulpit\canon\Rejestracja użytkownika drukarki Canon MP550 series.LNK C:\Users\dom\Downloads\*_Sciagnij.pl.exe C:\Users\dom\Documents\Optimizer Pro Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany w działaniu systemu.

Temat przenoszę do działu Windows 7. Nie ma żadnych oznak infekcji. 1. Po pierwsze, bardzo mało wolnego miejsca na partycji systemowej (na D zresztą też), a jeśli stopień fragmentacji wysoki, zamulenie gotowe. Wypada trochę poluzować. ==================== Drives ================================ Drive c: () (Fixed) (Total:105.28 GB) (Free:5.05 GB) NTFS Drive d: () (Fixed) (Total:465.76 GB) (Free:2.76 GB) NTFS Drive e: () (Fixed) (Total:465.75 GB) (Free:257.86 GB) NTFS 2. Po drugie, jest tu stary ESET Smart Security z komponentami datowanymi na 2010 i 2011 (stare sterowniki!). Pozbądź się go definitywnie. Odinstaluj poprzez Panel sterowania. Po deinstalacji w Trybie awaryjnym zastosuj ESET Uninstaller. Po akcji zrób nowe raporty FRST (główny + Addition) obrazujące nową sytuację, a podam drobne poprawki na wpisy puste + czyszczenie Tempów.

Poproszę o nowe raporty z FRST, zaznacz też pole Addition, by było widać ostatnio nagrane błędy w Dzienniku zdarzeń.

Jeśli chodzi o wtyczki Opera, to proponuję: - Na stałe zostawić wyłączone: Adobe Reader, Java, QuickTime. Ewentualnie, gdy jakaś strona będzie wymagać Java, to reaktywujesz. - Usunąć niektóre pozycje pobrane z kluczy Mozilla. Opera za jakiś czas i tak nie będzie akceptować wtyczek typu NPAPI. Z tym, że po usunięciu mogą zostać odtworzone niektóre klucze przez program nadal zainstalowany na komputerze. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@microsoft.com/SharePoint,version=14.0] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@microsoft.com/WPF,version=3.5] [-HKEY_USERS\S-1-5-21-790525478-861567501-682003330-1004\Software\MozillaPlugins\signiant.com/SigniantTransfer] Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Sprawdź we wtyczkach czy ilość pozycji uległa redukcji i usunięte obiekty nie uległy rekonstrukcji.

Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Z raportów nic nie wynika, ale podejrzanym jest ten starawy ESET Endpoint Antivirus. W ramach testu odinstaluj całkowicie (to jedyny sposób, by odciąć wszystkie czynności programu bez borykania się z problemem sterowników) i sprawdź czy nastąpi jakaś poprawa. Druga sprawa, dysk jest mały, partycja systemowa C skromna, tu może występować permanentny problem ze zbliżaniem się do akceptowalnej granicy dostępnego wolnego miejsca. Taki stan też może być przyczyną spowolnienia, zwłaszcza jeśli obszar jest sfragmentowany. ==================== Drives ================================ Drive c: () (Fixed) (Total:31.15 GB) (Free:6.93 GB) NTFS Drive d: () (Fixed) (Total:80.53 GB) (Free:72.79 GB) NTFS

Tak, wszystko wygląda na wykonane. Kolejna porcja działań: 1. Usuń używane narzędzia za pomocą DelFix. 2. Przeprowadź skanowanie za pomocą: Hitman Pro i dostarcz wynikowy raport.

Nie prosiłam o nowy log z FRST - usuwam. Usuń pobrany FRST. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj systemowy Internet Explorer: KLIK.

Adux, nie, nie zapomniałam, gdyż forum oznacza tematy i wysyła powiadomienia. Widać na pierwszy rzut oka (każy oczywiście widzi co innego) po ikonie subforum i po oznaczeniach tematów, że są tematy których nawet nie przeczytałam, a Twój nie jestem jedynym z tej grupy. Nie można "zapomnieć" widząc cały czas ikonę twierdzącą, że są nieprzeczytane obiekty. Tak, czasem robię na szybko tematy z jawną infekcją z pierwszej strony, które nie wymagają ode mnie określonego nakładu pracy (a czasem i myślenia, bo jest sprawa oczywista), by uniknąć tak lubianego przez niektórych wytykania mi "braku szybkiej odpowiedzi". Nie, pierwsza strona to nie jedyna którą się zajmuję, są tematy z tego samego przedziału czasowego co Twój (leżące koło Twojego), które uzyskały odpowiedź po prawie tygodniu. Dlaczego nie ma odpowiedzi: Temat tematowi nierówny. Nie mam sił na analizę i udzielenie odpowiedzi w czasie przewidywanym przez użytkownika, albo nie znam odpowiedzi na pytanie. Są też tematy które otworzyłam, przejrzałam logi, nie mam nic do powiedzenia i temat odkładam. Gdy jestem gotowa, sama wyciągam stare tematy i robię bez przypominania. Musisz mi uwierzyć, że znam spis starych tematów i wiem gdzie są - włącznie z Twoim poprzednim w dziale Windows. Gdy nie jestem gotowa, nowy post nie przyśpieszy tego procesu. Może się zdarzyć, że w ogóle nie udzielę odpowiedzi - tak, to też jest jeden ze scenariuszy, bo jeśli nie mam nic do powiedzenia, nie będę pisać postów o takiej treści. Moja odpowiedź na teraz: w logach nie ma oznak infekcji, a pliku LegendaryClient.exe nie jestem w stanie sprawdzić w sposób który insynuujesz. W Dzienniku zdarzeń multum błędów LOL, w tym błędy insynuujące problem z .NET Framework. Gdy będę w stanie, ustosunkuję się do reszty wątków.

Temat był przetwarzany na innym forum. Proszę o świeży zestaw raportów, o ile mam kontynuuować. Nie odbyła się poprawna deinstalacja paska AVG Web TuneUp, a właściwie żadnej deinstalacji. Został tam stratowany na chama AdwCleaner i "Fixem" FRST. Tym sposobem tylko śmietnik powstaje w systemie, bo takie usuwanie brutalne wcale nie czyści porządnie z programu.

Temat przenoszę do diału Windows, na razie brak jakichkolwiek podstaw, by krążyć wokół infekcji. Log FRST Addition niepoprawny - ucięty na dole. Brak trzeciego obowiązkowego raportu FRST Shortcut, nadal brak też GMER. Nazwy logów FRST sugerują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów i tam się nie grzebie, o ile nie ma potrzeby wyciągnięcia starszych logów,. Bieżące logi są zawsze nagrywane tam skąd uruchamiasz FRST - czyli tu C:\Pobrane. 1. Tu COMODO jest jak najbardziej podejrzany, na dodatek to stara wersja z 2012. To że nie sprawiał wcześniej problemów nie jest żadnym dowodem. Odinstaluj całkowicie i sprawdź czy polepszy się sytuacja. 2. Poza tym, zwracano uwagę na krytyczny status aktualizacji, a tu nadal bez zmian: Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 8 (Default browser: FF) Do wykonania pełna aktualizacja (KLIK), póki to jeszcze można zrobić, bo XP to nie wspierana już platforma.

Nie wspominasz już nic o problemach w systemie. DelFix wykonał zadanie - usuń z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Niestety mam bardzo niedobre wieści - tu jest CryptoWall 3.0 - infekcja szyfrująca dane. Opis infekcji: KLIK. Odszyfrowanie danych jest niemożliwe, ani nie da się ich nawet odzyskać za pomocą programów do odzyskiwania danych, gdyż CryptoWall w nowszych wersjach wykonuje tzw. "bezpieczne usuwanie danych" nadpisując miejsca na dysku. Moja ingerencja będzie ograniczona tylko do usuwania infekcji. Logi z przestarzałego OTL nie są już obowiązkowe (usuwam), przecież zasady działu są już od dawna zaktualizowane. Posługujesz się starym FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-01-2015 01 (ATTENTION: ====> FRST version is 28 days old and could be outdated) Ten program jest tak często aktualizowany (czasami wręcz dzień po dniu, lub kilka wersji w ten sam dzień), że wymagane pobieranie za każdym razem od nowa. Proszę pobierz najnowszą wersję i zrób nowe raporty (wszystkie trzy): KLIK.

Problem z pornograficznymi pop-upami wynika z infekcji routera - pierwszy adres jest ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 Tu nie pomoże żaden skaner, ani żadne naprawy spod Windows, infekcja jest na poziomie innego urządzenia, nie w systemie per se. Poboczne sprawy: - Adware nie zostało dokładnie wyczyszczone - nadal są przekierowania istartsurf.com. - W systemie są ślady używania programu-naciągacza z czarnej listy SpyHunter, kolejny kwiatek to śmieć Dll-Files.com Fixer. Wykonaj następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez Dodaj/Usuń programy odinstaluj: - Śmieciowe programy Dll-Files.com Fixer wersja 3.0.81.2643 i NetPanel (ankiety Gemiusa). - Stare dziurawe wersje Adobe Flash Player 13 Plugin, Adobe Flash Player 9 ActiveX, Adobe Shockwave Player 12.0, Java™ 6 Update 20, Java™ SE Development Kit 6 Update 25, OpenOffice.org 3.2 oraz przestarzały SpyBot (słaby program, przestarzała konstrukcja, zastępuje go nowoczesny Malwarebytes Anti-Malware). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 StartMenuInternet: chrome.exe - Chrome.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-796845957-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-796845957-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-796845957-329068152-1801674531-1003 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{1FAF8C54-31AE-FA45-9103-120A098EDA98}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{3A3A3278-4E97-0008-4E1B-6DDDDD51BE9F}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{ADCC7130-C0AA-41F2-7268-D6F2DB5DEC02}\InprocServer32 -> No File Path CHR HKLM\...\Chrome\Extension: [nonnbhnjfhfcpmfdegkohnemghnglgpp] - C:\Documents and Settings\All Users\Dane aplikacji\ADDICT-THING\nonnbhnjfhfcpmfdegkohnemghnglgpp.crx [Not Found] CHR HKU\S-1-5-21-796845957-329068152-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jmlmanpnnbnpabnonijjmnmplnbfcgbf] - C:\Program Files\NetPanel\chromegem.crx [2011-12-25] FF HKU\S-1-5-21-796845957-329068152-1801674531-1003\...\Firefox\Extensions: [gemgecko@gemius.com] - C:\Program Files\NetPanel\gemgecko_ext FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k Startup: C:\Documents and Settings\komputer\Menu Start\Programy\Autostart\OPTISetup.lnk BootExecute: autocheck autochk * ROBoot \??\C:\WINDOWS\system32\ASOROSet.binDfSDKBt S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X] AV: STOPzilla AntiVirus (Disabled - Up to date) {271A6322-9DAA-4E02-932D-7EDF389FFCF0} C:\Documents and Settings\All Users\Dane aplikacji\STOPzilla! C:\Documents and Settings\All Users\Dane aplikacji\{41dd2fbb-aaaf-3438-41dd-d2fbbaaabeee} C:\Documents and Settings\All Users\Dane aplikacji\f692c51800004be1 C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\komputer\Dane aplikacji\Logs C:\Program Files\NetPanel C:\Program Files\STOPzilla C:\WINDOWS\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\etc\hosts.*.backup Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GB_UPDATE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GEST" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMMON " /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome usuń całkowicie z dysku poprzedni profil zainfekowany adware - obecnie korzystasz z drugiego czystego profilu. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Poproszę o nowe raporty z FRST (wszystkie trzy).

ruter321, zacznij od zasad działu co należy dostarczyć: KLIK.

Zestaw obowiązkowych logów niekompletny - brak trzeciego obowiązkowego pliku FRST Shortcut. W systemie działają aktywnie sterowniki grupy Sambreel. Google Chrome jest zablokowane na bazie polityk, w przeglądarce widać adware DigiHelp a nie Dynamo Combo. Jeśli jest tam coś więcej, to Chrome było niepoprawnie czyszczone (tylko usuwanie katalogu rozszerzenia z dysku). Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64; C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64.sys [48776 2014-12-21] (StdLib) R1 {993baf86-643c-42e9-95e5-094f337533f0}Gw64; C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gw64.sys [48776 2014-12-17] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys [44688 2014-09-19] (StdLib) HKLM-x32\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> www.wp.pl/?src01=dp220140912 CHR StartupUrls: Default -> "www.wp.pl/?src01=dp220140912" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141218 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchoholic.info/?pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 HKU\S-1-5-21-2227836221-3376171124-1003496566-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchoholic.info/?pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 SearchScopes: HKU\S-1-5-21-2227836221-3376171124-1003496566-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 Task: {91EF3F1E-1213-4B51-BB79-C962FA6DD613} - System32\Tasks\{0C8A02C6-8045-4DC2-AD95-6633CC991E33} => pcalua.exe -a "D:\Age Of Empires 3 All in One\AGE OF EMPIRES 3\directx9\DXSETUP.exe" -d "D:\Age Of Empires 3 All in One\AGE OF EMPIRES 3\directx9" C:\Users\Fudala\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64.sys C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gw64.sys C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj DigiHelp odinstaluj. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.