picasso

Wszystko zostało usunięte i w raportach nie ma żadnych aktywnych elementów, z wyjątkiem nadal nieczystych preferencji Chrome. Czy na pewno wykonałeś te działania:

Do wykonania kolejne kroki: 1. Nadal widzę w Google Chrome ustawienia wstawione przez niepożądaną instalację Bing: CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com - Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres msn.com, następnie przełącz z powrotem na "Nową kartę". - Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Kompletnie nieaktualny Windows, brak SP1, IE11 i potężnej ilości łat. Do wykonania instalacje aktualizacji rozpisane w przyklejonym: KLIK.

Zabrakło trzeciego raportu FRST Shortcut. Używałeś też ComboFix, ten program nie nadaje się do czyszczenia adware z przeglądarek. SWDUMon pochodzi od Slimdrivers (program wątpliwej reputacji, może być przemycany na komputer metodami "PUP"), obecnie program jest w stanie szczątkowym i ostał się tylko ten sterownik (nawet nie jest uruchomiony). Odinstalowałeś wprawdzie Google Chrome, ale nieskutecznie - nie zaznaczyłeś podczas deinstalacji opcji Usuń także dane przeglądarki i pozostał cały profil Chrome na dysku zainfekowany przez mystarting123 - po instalacji Chrome ten profil zostanie ponownie załadowany. Tu należało zamiast deinstalacji Chrome wykonać poprawne czyszczenie / reset przeglądarki via jej własne opcje. W związku z tym, że przeglądarka została odinstalowana, profil usunę, ale to oznacza utratę zapisanych w nim danych. W skrypcie przekopiuję podstawowe pliki Bookmarks z zakładkami + Login Data z zapamiętanymi hasłami, które wstawisz do nowego profilu po świeżej instalacji Chrome. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: StartBatch: netsh advfirewall reset md C:\Users\Czesław\Desktop\Chrome copy /y "C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default\Bookmarks" C:\Users\Czesław\Desktop\Chrome copy /y "C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default\Login Data" C:\Users\Czesław\Desktop\Chrome EndBatch: S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [25608 2017-06-16] (SlimWare Utilities, Inc.) S1 fburutqr; \??\C:\Windows\system32\drivers\fburutqr.sys [X] U0 msahci; system32\drivers\msahci.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {72040F41-1635-429B-8BDF-289B41800C08} - \Plejuphaniling -> Brak pliku Task: {7ED7A3CA-D46E-41B5-8FA6-6E5FAAB4D385} - \AVG EUpdate Task -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKU\S-1-5-21-2586129371-1797009435-415111422-1001\...\StartupApproved\StartupFolder: => "Wysyłanie do programu OneNote.lnk" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2586129371-1797009435-415111422-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Users\Czesław\AppData\Local\Google C:\Users\Czesław\AppData\Local\Mozilla C:\Users\Czesław\AppData\Roaming\Mozilla C:\Users\Czesław\Downloads\FRST64.exe.r6z2jjp.partial C:\Users\Czesław\Downloads\RegCureProSetup_52fe7fda-917f-46a7-ba74-335c1dfaff72_.exe C:\Windows\system32\DRIVERS\SWDUMon.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W wyniku powyższego skryptu na Pulpicie powstanie folder "Chrome" z plikami zakładek i danych logowania. Zainstaluj Google Chrome i uruchom, by utworzył się nowy profil. Następnie zamknij Chrome i podmień korespondujące pliki w poniższej ścieżce tymi z katalogu "Chrome" na Pulpicie. Uruchom Chrome ponownie i sprawdź czy widać zakładki. C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Jest tu więcej infekcji, nie tylko Maoha. Skrypt we WMI infekuje skróty przeglądarki w określonych odstępach czasu, są też zasady grupy ustawione blokujące określone funkcje Chrome. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [130072 2017-02-16] (深圳市猫哈网络科技发展有限公司) R2 mptpmdxm; C:\Windows\SysWow64\mptpmdxm.dll [460072 2017-06-14] () R1 cytdsk; C:\WINDOWS\System32\drivers\cytdsk.sys [195496 2017-06-13] () R1 JszipProtect; C:\Program Files (x86)\Maoha\JiSuZip\JsZipProtect64.sys [39256 2016-12-27] () R1 LanmaMaster; C:\WINDOWS\system32\drivers\lanmamaster.sys [2978920 2016-11-11] () [brak podpisu cyfrowego] R2 UefGdstor; C:\WINDOWS\system32\drivers\UefGdstor.sys [192552 2016-11-11] () R1 WiserIso; C:\WINDOWS\System32\Drivers\vcdrom.sys [25432 2016-12-27] () Task: {EE6EDC50-E002-43E5-855B-D16EE1FB9364} - System32\Tasks\CloneList => Rundll32.exe "C:\Program Files\CloneList\CloneList.dll",xkYjNSAWtNj ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司) ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-646645915-3493183111-878668481-1001\Software\Microsoft\Internet Explorer\Main,Start Page = DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\CloneList C:\Program Files (x86)\Maoha C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WindowsTM C:\ProgramData\Cache C:\ProgramData\WinCacheData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩 C:\Users\lucca\AppData\Local\InstallationConfiguration.xml C:\Users\lucca\AppData\Local\installer.dat C:\Users\lucca\AppData\Local\test_db_cara.db C:\Users\lucca\AppData\Roaming\Nvu C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\IPCSearch.lnk C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\IPCSearcher.exe.lnk C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\lucca\Desktop\IPCSearch.lnk C:\WINDOWS\System32\drivers\cytdsk.sys C:\WINDOWS\system32\drivers\lanmamaster.sys C:\WINDOWS\system32\drivers\UefGdstor.sys C:\WINDOWS\System32\Drivers\vcdrom.sys C:\Windows\SysWow64\mptpmdxm.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome Ustawienia > karta Rozszerzenia > odinstaluj Tables. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner.

Czy po usuwaniu przy udziale skryptu FRST problemy nadal występują? Poprawki: 1. Czy na pewno Chrome było czyszczone wg wytycznych? Ja nadal widzę wpisy adware w konfiguracji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: S1 MpKsla6c1eb07; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{0FC4F30E-5CB4-4991-901C-BF3C85CFBC3E}\MpKsla6c1eb07.sys [X] Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Widzę trzy wpisy startowe (dwa w Harmonogramie + jeden w Run) które mogą być potencjalną przyczyną przywracania modyfikacji w Chrome. Jak rozumiem, ruskie skróty zostały już usunięte ręcznie z Pulpitu, gdyż w raportach nie widzę takich obiektów. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj zbędny Akamai NetSession Interface (downloader produktów Autodesk). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: TasksDetails: Task: {AE733462-BFA0-4D5A-904A-1E0DE4CE55C9} - System32\Tasks\etdctrl => C:\Users\jarek\AppData\Local\etdctrl\etdctrl.exe [2017-06-14] () Task: {D829374C-FB90-4799-90F8-BB8441C7321E} - System32\Tasks\MSI => C:\Users\jarek\AppData\Roaming\Microsoft\msi.exe [2017-06-12] () HKU\S-1-5-21-2156432779-545260476-1715802876-1001\...\Run: [ucowxgjize] => explorer "hxxp://ixfohe.ru/?utm_source=uoua03&utm_content=b9606f77ff732da0856330d67bfa38b4&utm_term=2853DCBF7C8FA144CEED5C0DC511BE40&utm_d=20170612" HKU\S-1-5-21-2156432779-545260476-1715802876-1001\...\Policies\Explorer: [] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM-x32\...\Run: [] => [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\SoftwareUpdateTemp.xml C:\Users\jarek\AppData\Local\etdctrl C:\Users\jarek\AppData\Roaming\Microsoft\msi.exe Folder: C:\WINDOWS\SHELLNEW EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wyniki sfc /scannow nie zostały prawidłowo przefiltrowane. Dostarczyłeś cały (zbędny) CBS.log, więc go przefiltrowałam na własny rachunek i załączyłam spodziewany o wiele krótszy odczyt sfc.txt. Narzędzie wykryło dużą grupę naruszonych plików i nie było w stanie ich naprawić ze względu na brak kopii w systemie. Naprawa tej usterki ręcznie jest mozolna (wymagane przesłanie identycznych plików z mojego systemu i ich podstawienie) i wydaje mi się tu nieopłacalna ze względu na ilość tych plików. Jest też dodatkowy wątek: Jest tu podejrzenie, że system jest w stanie mocno nieaktualizowanym, tzn. brak łat wydanych po SP1. Na wcześniej podanym zrzucie z Dependency Walker widać bardzo stare wersje 6.1.7600.16385 datowane na rok 2009 i odpowiadające gołemu Windows 7 bez SP1 (przy czym SP1 jest u Ciebie wykryty ogólnie), podczas gdy u mnie te pliki są wykryte w przeważającej części w znacznie nowszych wersjach. Ponadto archaiczna wersja IE8 w nagłówku FRST również wskazuje, że braki mogą być spore. Czyli w teorii tu na widoku byłaby gruba aktualizacja całego systemu, ale dopiero po naprawie uszkodzeń notowanych przez SFC. Łącząc te fakty zmieniam zdanie, przeinstalowanie systemu nie wydaje się głupim pomysłem. Tylko po instalacji Windows należy od razu załadować wszystkie łaty (ogromna ilość). Skrót akcji w przyklejonym: KLIK. Co do reszty wątków: Gdzie widzisz launchpage.org (strona startowa / wyszukiwarka / etc.) i w której przeglądarce? W raportach FRST ani śladu po tym adresie. Kolejna sprawa, gdzie był widziany webunstop.net (bezpośrednich odwołań do tego także nie było w logach) i czy nadal to występuje? Czyli tylko Frozlunky stanowi tu obecnie problem? 1. Co do wersji Visual zgodnych z tą aplikacją, to jest to wersja Microsoft Visual C++ 2012 Redistributable (x86) - biblioteki 64-bit nie pasują, bo Flozlunky jest programem 32-bit. Posiadasz ją, ale także od groma innych wersji Visual nie działających z Frozlunky. Czy na pewno pozostałe wersje były potrzebne, a ich instalacja miała uzasadnienie w kontekście innych programów zgłaszających błędy? Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.60610 (HKLM-x32\...\{95716cce-fc71-413f-8ad5-56c2892d4b3a}) (Version: 11.0.60610.1 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 (HKLM-x32\...\{7f51bdb9-ee21-49ee-94d6-90afc321780e}) (Version: 12.0.21005.1 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{ce085a78-074e-4823-8dc1-8a721b94b76d}) (Version: 12.0.21005.1 - Microsoft Corporation) Microsoft Visual C++ 2015 Redistributable (x64) - 14.0.23026 (HKLM-x32\...\{e46eca4f-393b-40df-9f49-076faf788d83}) (Version: 14.0.23026.0 - Microsoft Corporation 2. Nie jestem w stanie dokładnie sprawdzić tej aplikacji, gdyż nie posiadam nadrzędnej dla niej zależności Spelunky, ale u mnie na w pełni sprawnym i zaktualizowanym systemie Windows 7 x64 z zainstalowaną wersją Microsoft Visual C++ 2012 x86 (i brak innych wersji Visual) mam podobne odczyty w Dependency Walker - te same pliki w kontekście czerwonych odwołań do x64, tylko wersje tych plików mam znacznie nowsze niż Ty. I Frozlunky nie zgłasza u mnie błędu 0xc000007b tylko ten oczywisty związany z brakiem gry nadrzędnej: "Spelunky is not running, please start it and then launch Frozlunky.". Tak więc nie sądzę, by te zgłoszenia w Dependency Walker miały znaczenie - mam podobne, Frozlunky się uruchamia.

To program ukryty i nie widać go na liście z poziomu użytkownika. Po pierwszej próbie usuwania przy udziale narzędzia Microsoftu nadal log Addition pokazywał ten program, więc pytaniem jest czy rzeczywiście ponowiłeś próbę po raz drugi. Czy ten efekt zniknął po użyciu AdwCleaner? AdwCleaner usuwał masowo skojarzenia plików powiązane z chińczykami. Zaleciłam reinstalację Chrome, więc na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Tym razem udało się zbić aktywne elementy, ostało się jedno zadanie w Harmonogramie. Idziemy dalej: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {D3717DFB-1B28-4BA6-975D-0D8B7594BAA5} - System32\Tasks\psv_VentoLotstock => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\NamSolotough.reg" & del "C:\ProgramData\AppriabuS\NamSolotough.reg" & SCHTASKS /Delete /TN "psv_VentoLotstock" /F DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Ponów próbę usuwania Online Application w Program Install and Uninstall Troubleshooter. 3. Przeinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki, by usunąć katalog profilu. 4. Uruchom AdwCleaner. Wybierz opcje Skanuj + Oczyść i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko co zadałam usunięte, ale po prostu w międzyczasie doładowały się nowe elementy. Będzie tu kilka etapów czyszczenia, na razie miotamy z ubiciem aktywnych elementów. Kolejna porcja działań: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 AppriabuS; C:\ProgramData\\AppriabuS\\AppriabuS.exe [3137536 2017-06-13] (TODO: ) [brak podpisu cyfrowego] R2 Update service; C:\Program Files (x86)\Popcorn Time\Updater.exe [339968 2016-08-26] (Popcorn Time) [brak podpisu cyfrowego] Task: {272329ED-57C8-4DCD-B381-F1545C96B284} - System32\Tasks\psv_Gravelam => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Free-Dox.reg" & del "C:\ProgramData\AppriabuS\Free-Dox.reg" & SCHTASKS /Delete /TN "psv_Gravelam" /F Task: {45AE2A38-DA0C-4818-A515-F4164751F0EA} - System32\Tasks\psv_Softlex => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\HoldFresh.reg" & del "C:\ProgramData\AppriabuS\HoldFresh.reg" & SCHTASKS /Delete /TN "psv_Softlex" /F Task: {480AC5AC-7410-4CEF-858C-149819C78172} - System32\Tasks\System Healer Task => C:\Program Files (x86)\SystemHealer\RescueMonitor.exe [2016-12-26] () Task: {4C70AA96-CBFE-4C85-BD09-DD13AA05230B} - System32\Tasks\psv_Ontoin => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Treeis.reg" & del "C:\ProgramData\AppriabuS\Treeis.reg" & SCHTASKS /Delete /TN "psv_Ontoin" /F Task: {4F3F91C2-4B97-4982-B2E2-BF56C1E73A68} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) Task: {4FECAAB3-D2DE-4A3F-B30D-3D2D48935C66} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll",#1 Task: {5326893D-65F6-41B5-987F-64944B92404F} - System32\Tasks\SystemHealer Monitor => C:\Program Files (x86)\SystemHealer\HealerConsole.exe [2016-12-26] () Task: {67163D51-2C87-4F0D-A642-D96375997C94} - \snp -> Brak pliku Task: {67CBC653-A1EA-484C-9208-7A3E3475F9A2} - System32\Tasks\{7A0F0D47-0F0B-0B0E-7D11-787E0C0F1108} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACAAIAAgACAAOwAgACAAIAA7ACAAOwA7ADsAIAA7ADsAIAAgADsAOwA7ACAAOwAgACAAOwA7ADsAOwAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUA (dane wartości zawierają 10072 znaków więcej). Task: {70E8C2AC-CE19-4CB7-A64D-60E966D41D32} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {7CBB39E2-31D5-4780-9B99-9292C66AE4F0} - System32\Tasks\psv_Tamp-Zap => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Inchfind.reg" & del "C:\ProgramData\AppriabuS\Inchfind.reg" & SCHTASKS /Delete /TN "psv_Tamp-Zap" /F Task: {987E8443-F673-4E9A-B5F6-2C477B4A50C9} - \snf -> Brak pliku Task: {9ABAB7AC-8C1F-4899-B9B4-240D0DE78826} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {AD456F62-9032-4D67-982B-EFF665609522} - System32\Tasks\System HealerStartUp => C:\Program Files (x86)\SystemHealer\SystemHealer.exe [2016-12-26] () Task: {B1FB20EF-B3E2-4B18-BCD5-592E4A03FD4F} - System32\Tasks\psv_Saotouch => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Lamstring.reg" & del "C:\ProgramData\AppriabuS\Lamstring.reg" & SCHTASKS /Delete /TN "psv_Saotouch" /F Task: {C1956C73-47CE-42E1-8EB4-98B2C98C8D5A} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll",#1 Task: {C7F32682-3F97-4A7F-AFDC-970F3CC0903A} - System32\Tasks\System HealerPeriod => C:\Program Files (x86)\SystemHealer\SystemHealer.exe [2016-12-26] () Task: {E100684C-27BA-4968-8EAE-44FB71BA8BBD} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {EE00D26D-C1D9-4972-8B97-C6776D4F7005} - System32\Tasks\psv_LabToron => cmd.exe /c regedit.exe /s "C:\ProgramData\AppriabuS\Vilabam.reg" & del "C:\ProgramData\AppriabuS\Vilabam.reg" & SCHTASKS /Delete /TN "psv_LabToron" /F Task: C:\Windows\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files (x86)\YtubeABlckU\ErT7J6V.dll Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\System HealerPeriod.job => C:\Program Files (x86)\SystemHealer\SystemHealer.exe Task: C:\Windows\Tasks\System HealerStartUp.job => C:\Program Files (x86)\SystemHealer\SystemHealer.exe Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [HGYgCzpF0RDaX.exe] => C:\ProgramData\9cac9a3bc4a2401abefa9a51a0ff456e\HGYgCzpF0RDaX.exe [126976 2017-06-13] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [kirlSC3gvg.exe] => C:\Users\ABBA\AppData\Roaming\67b8914af1d4424090aa08cd7787f6af\kirlSC3gvg.exe [126976 2017-06-13] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [oWYEY123a.exe] => C:\Users\ABBA\AppData\Roaming\eda59158d6c44145985275c646b4a687\oWYEY123a.exe [686592 2017-06-13] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [wYfUrfeiSFsd.exe] => C:\ProgramData\636ae1df1e164e92b276ed99b5e4afcc\wYfUrfeiSFsd.exe [686592 2017-06-13] () AppInit_DLLs: C:\ProgramData\AppriabuS\U-Ronfax.dll => C:\ProgramData\AppriabuS\U-Ronfax.dll [343552 2017-06-13] () AppInit_DLLs-x32: C:\ProgramData\AppriabuS\Mathozesing.dll => C:\ProgramData\AppriabuS\Mathozesing.dll [246784 2017-06-13] () BHO: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YtubeABlckIE\t3JQN5cq.dll [2017-06-13] () BHO-x32: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YtubeABlckIE\ku2wY4T.dll [2017-06-13] () DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\E3605470-291B-44EB-8648-745EE356599A DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Search module DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SystemHealer DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\YeaDesktop C:\Program Files (x86)\Microleaves C:\Program Files (x86)\Popcorn Time C:\Program Files (x86)\SystemHealer C:\Program Files (x86)\YtubeABlckUn C:\Program Files (x86)\YtubeABlckU C:\Program Files (x86)\YtubeABlckIE C:\ProgramData\636ae1df1e164e92b276ed99b5e4afcc C:\ProgramData\9cac9a3bc4a2401abefa9a51a0ff456e C:\ProgramData\AppriabuS C:\ProgramData\AppriabuSs C:\ProgramData\Microleaves C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Healer C:\Users\ABBA\AppData\Local\AdvinstAnalytics C:\Users\ABBA\AppData\Local\PopcornTime C:\Users\ABBA\AppData\LocalLow\TubeAlckSet C:\Users\ABBA\AppData\Roaming\eda59158d6c44145985275c646b4a687 C:\Users\ABBA\AppData\Roaming\67b8914af1d4424090aa08cd7787f6af C:\Users\ABBA\AppData\Roaming\Microleaves C:\Users\ABBA\AppData\Roaming\System Healer C:\Users\ABBA\Downloads\PopcornTime C:\Users\Public\Desktop\Launch System Healer.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nowy profil Chrome już został zainfekowany adware, więc powtórz operację z tworzeniem nowego profilu. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Format wydaje mi się zbyt mocną formą w stosunku do wagi problemów i pociągnęłabym temat dalej. Dla świętego spokoju, pozostaw ten aktywator. By skrypt FRST go nie naruszył, usuń ze skryptu FRST te dwie linie: IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nHook.exe IFEO\SppSvc.exe: [Debugger] KMS-R@1nHook.exe Reszta operacji nadal aktualna.

Agrax Pomiń punkt 2, za to po ukończeniu zadań wykonaj sprawdzanie plików via sfc /scannow i dostarcz log z wynikami: KLIK. Powodem tej dodatkowej akcji jest conajmniej jeden uszkodzony plik Windows widoczny w raporcie FRST: Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\System32\WindowsCodecsExt.dll Ten crack został użyty do nielegalnej aktywacji Microsoft Office co widać w Harmonogramie zadań: Task: {274748FD-3011-41BB-9083-5E850C1EE3C5} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic [Argument = path OfficeSoftwareProtectionProduct where (ID="d450596f-894d-49e0-966a-fd39ed4c4c64") call Activate] Dodatkowo są ślady innych matact, tzn. modyfikacja w pliku Hosts blokująca serwer walidacji Microsoftu. Tak więc jeśli crack ma być usunięty, należy użyć instrukcje którymi posługiwałeś się aktywując Office, tylko "odwrotnie". Wykonanie skryptu FRST naruszy dwa wpisy cracka (ale w sumie jest ich 4). Niespójność ikon tego samego typu to zwykle problem naruszonego cache ikon. Komenda EmptyTemp: w skrypcie FRST resetuje cache ikon, więc po użyciu skryptu FRST może nastąpić jakaś zmiana. O jakich komunikatach mowa i podczas uruchamiania jakich aplikacji? Miszel03 Dodałam do skryptu pominięte puste wpisy (Avast + Customer Experience Improvement Program w Harmonogramie oraz CyberGhost w msconfig) oraz wydruk zawartości pliku 1098902.cfg (by się upewnić co w nim jest). Problem prawdopodobnie leży w modyfikacji matrycy preferencji (wpisy FF ExtraCheck). Tak więc nie sądzę, by tu był potrzebny reset profilu Firefox, bo w zasadzie modyfikacji to jest tu właśnie mało. FF Extension: (Przelewy24Ext2.3) - C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\k1pspd70.default-1488282384148\Extensions\jid1-AoXeeOB4j7kFdA@jetpack.xpi [2017-06-09] To poprawne rozszerzenie. Mój opis w bazie SystemLookup (prowadzę listę ID Firefoxa): KLIK.

Istotnie, ogromna ilość wpisów adware/PUP. Działania do przeprowadzenia: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: 1.0.0.1, Popcorn Time, Search module. ----> Uruchom Program Install and Uninstall Troubleshooter i wskaż do usunięcia program Online Application. ----> Prawoklik na podane niżej pliki deinstalacyjne i "Uruchom jako administrator": C:\Program Files (x86)\Maoha\JiSuZip\Uninstall.exe C:\Program Files (x86)\mgdisk\uninst.exe W przypadku problemów z deinstalacją kontynuuj podane poniżej działania. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-06-12] () [brak podpisu cyfrowego] S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [130072 2017-02-16] (深圳市猫哈网络科技发展有限公司) R2 MaohaWifiSvr; C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe [168992 2016-11-26] (深圳市猫哈网络科技发展有限公司) S2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [43520 2017-04-25] () [brak podpisu cyfrowego] S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (Gold Click Ltd) R2 SMUpd; C:\Program Files\Common Files\Noobzo\GNUpdate\smu.exe [2989056 2017-06-12] (Search Module Ltd.) [brak podpisu cyfrowego] R1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] () R1 MaohaWifiNetPro; C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys [1030496 2016-11-26] () S3 SMUpdd; C:\Program Files\Common Files\Noobzo\GNUpdate\smw.sys [52992 2017-06-12] () R1 WiserIso; C:\Windows\System32\Drivers\vcdrom.sys [25432 2016-12-27] () U4 ISODrive; \??\C:\Program Files (x86)\UltraISO\drivers\ISODrv64.sys [X] U1 ucdrv; \??\C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [X] U4 WinDivert1.2; \??\C:\Windows\system32\drivers\WinDivert64.sys [X] HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_29Z1FQJE] => C:\Program Files\Windows Defender\ERETNO3T2R477DXN6UMM5A\_WMDTrFYCO.exe [129536 2017-06-12] () HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_ZO84MD89] => C:\Program Files\FreeDownloadManager.ORG\MO904LU821\iqu9RYnG7W.exe [129536 2017-06-12] () HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [{50AB17EC-861D-4E3A-8A18-E6A1432F11A7}] => C:\Program Files (x86)\KMSPico\17364e4224244e99f9f910bba12790ff.exe [337920 2017-06-12] (InstallShield Software Corporation) HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [YjkhPack] => C:\Users\ABBA\AppData\Local\YjkhPack\7f5fa15c2802891dc341d97a85b5cf7c.exe [348186 2017-03-02] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [YeaDesktop] => C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe [3424256 2017-06-08] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [G6y#IQ-C+-.exe] => C:\Program Files\DVD Maker\1E3VTKPMH\G6y#IQ-C+-.exe [126976 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [WxdzrolxDV0ATk.exe] => C:\Users\ABBA\AppData\Local\Temp\f0269ebd65774dfb9ad7c6a6410d36f9\WxdzrolxDV0ATk.exe [126976 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [2z2f_i7xHP.exe] => C:\Program Files\ATI\CO9KEI\2z2f_i7xHP.exe [126976 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [tARJSYiW.exe] => C:\Users\ABBA\AppData\Local\b5b7887505f4482ea91c41b0cefd6850\tARJSYiW.exe [126976 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Epktion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\ABBA\AppData\Local\YjkhPack\zqgpudjd.dll HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Local Security Authority Process] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Run: [Local Security Authority Processor] => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [245248 2017-06-12] (® Microsoft Corporation. All rights reserved.) HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [kuT1yJV.exe] => C:\Users\ABBA\AppData\Local\Temp\1e7b51b164374d389849abe190dfa873\kuT1yJV.exe [686592 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [euZgGzAfJN.exe] => C:\Users\ABBA\AppData\Roaming\265459cc51d14714af05031c73ab5b09\euZgGzAfJN.exe [686592 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\RunOnce: [uninstall.exe] => C:\Users\ABBA\AppData\Local\Temp\{e823f567efe34ab6b356a4b38ba77071}\W3MFWSkljm\uninstall.exe [686592 2017-06-12] () HKU\S-1-5-21-3347351025-225361290-299367054-1000\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\...\RunOnce: [WTK_IE_Google_Search] => REG ADD HKCU\Software\Microsoft\Internet Explorer\SearchScopes /v DefaultScope /t REG_SZ /d {637D6E3C-DF93-48A5-8362-159A8AC56B11} /f ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll [952832 2017-06-08] () ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司) Startup: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk [2017-06-12] Task: {01BD4924-337A-4D7A-B699-97F4094BD298} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) Task: {07F64E7D-36D2-482C-A7D6-A2982E647BC1} - System32\Tasks\{EA82E898-AAA8-4A00-A38F-77EE0B676CD2} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Kayfresh\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Kayfresh\uninstall.dat" -a uninstallme 857A73A6-8E8E-4C3A-BF32-012ED9C824F2 DeviceId=fa1989c8-c43d-24b0-6bd0-55635868f88e BarcodeId=51749003 ChannelId=3 DistributerName=APSFBcnmonetize Task: {1E209BD9-EFD9-41C9-AECB-863B15EF6928} - System32\Tasks\psv_Sanis => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Xxx-touch.reg" & del "C:\ProgramData\Subair\Xxx-touch.reg" & SCHTASKS /Delete /TN "psv_Sanis" /F Task: {2A4D2B20-BB7D-4C15-A51F-5B02738C7B7B} - System32\Tasks\snf => C:\ProgramData\Subair\Subair.exe Task: {4C0C64B3-A826-4A4C-961B-8F3BDE2538F7} - System32\Tasks\psv_Dentofind => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Y-fix.reg" & del "C:\ProgramData\Subair\Y-fix.reg" & SCHTASKS /Delete /TN "psv_Dentofind" /F Task: {5558F61F-974D-4918-8D24-4888769472E9} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {62F983A3-6815-4F12-9ED2-F0B9B96575D1} - System32\Tasks\Windows_Antimalware_Host => powershell -WindowStyle Hidden -ExecutionPolicy Bypass -NoP -file C:\ProgramData\u3bO8YL0WR.ps1 Task: {7777701D-38ED-4059-AF4E-94D53155549E} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {7D6EBDB7-8EA4-486B-9484-236102D69A89} - System32\Tasks\Windows_Antimalware_System_Host => C:\ProgramData\MicrosoftCorporation\Windows\SystemData\Isass.exe [2017-06-12] (® Microsoft Corporation. All rights reserved.) Task: {809009ED-4266-4CCB-B50D-084B2A86AD16} - System32\Tasks\PPI Update => C:\Windows\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995" Task: {89DC34D6-1553-44D6-8E31-A65FF6954DEC} - System32\Tasks\psv_Subwarm => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Newredtax.reg" & del "C:\ProgramData\Subair\Newredtax.reg" & SCHTASKS /Delete /TN "psv_Subwarm" /F Task: {8B49EB79-F3BE-4D7D-80EF-6A1E753E9656} - System32\Tasks\Squarediarity in Board => Rundll32.exe "C:\Program Files\Squarediarity in Board\Squarediarity in Board.dll",vilFQvm Task: {91CB7E64-66B5-42B1-B7FC-C6564234457C} - System32\Tasks\psv_DonRonstring => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Lamwarm.reg" & del "C:\ProgramData\Subair\Lamwarm.reg" & SCHTASKS /Delete /TN "psv_DonRonstring" /F Task: {955906AE-6E9F-4E21-BE27-1F77DFC6E4D6} - System32\Tasks\psv_Trustair => cmd.exe /c regedit.exe /s "C:\ProgramData\Subair\Indigostock.reg" & del "C:\ProgramData\Subair\Indigostock.reg" & SCHTASKS /Delete /TN "psv_Trustair" /F Task: {BC7A95B1-AE5E-454D-B328-718DA2D4B005} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) Task: {C7EC11C4-719C-4327-80F9-A9D2CC941D1B} - System32\Tasks\HD Ultra1 006-N => Rundll32.exe "C:\Program Files\HD Ultra1 006-N\HD Ultra1 006-N.dll",HJyhbqjdJGj Task: {D1CF3422-0CB3-4773-A6BC-443AC602D587} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2017-06-12] () Task: {FF739E73-E813-47C1-AA85-FDDE664B0F27} - System32\Tasks\SMW_UpdateTask_Time_3735323737343439372d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 Task: {FFC83BC8-972A-4CF8-B8A0-01B94F8104BF} - System32\Tasks\snp => C:\ProgramData\Subair\Subair.exe Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=H6Czbcnbl1BU,d77c5cb9-67e6-48fd-af3c-cb12171382bc, ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\ABBA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3347351025-225361290-299367054-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3347351025-225361290-299367054-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYAfJR-l7EOwl1Zo1v7D9Q23MuY1ttZl35_QYauy6XnstnH-DbXikzyVHYHuWNaRyknezIjNTmLRnNKjUitKGSXT1-QgI, HKU\S-1-5-21-3347351025-225361290-299367054-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {637D6E3C-DF93-48A5-8362-159A8AC56B11} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> {83F3BF0C-CB0F-44B8-AB52-32A7DAC715C9} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H6Czbcnbl1BU,d77c5cb9-67e6-48fd-af3c-cb12171382bc, SearchScopes: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKRRne9KKYIBGMlAfvzVPEu6IRkWYfMYxQsK97PcGedNV09gltPBVnZOip-UfdmwQYDWgROQfmhWKeDV18UOaE2GMJ0uATOOAlABFVlvrUnZB_WQ0FbI9fNHrbLBdS081XVAYoj9FP5ZYEO-rr7B_VgTPoTGo,&q={searchTerms} BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku IE Session Restore: HKU\S-1-5-21-3347351025-225361290-299367054-1000 -> [funkcja włączona] DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\HD Ultra1 006-N C:\Program Files\Squarediarity in Board C:\Program Files\ATI\CO9KEI C:\Program Files\Common Files\Noobzo C:\Program Files\DVD Maker\1E3VTKPMH C:\Program Files\FreeDownloadManager.ORG\MO904LU821 C:\Program Files\Windows Defender\ERETNO3T2R477DXN6UMM5A C:\Program Files (x86)\KMSPico C:\Program Files (x86)\KMSPico 10.0.6 C:\Program Files (x86)\Maoha C:\Program Files (x86)\mgdisk C:\Program Files (x86)\Microleaves C:\Program Files (x86)\pccleanplus C:\Program Files (x86)\ProxyGate C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\UltraISO C:\Program Files (x86)\WindowsTM C:\Program Files (x86)\YeaDesktop C:\Program Files (x86)\Common Files\Kayfresh C:\ProgramData\igfxDH.dll C:\ProgramData\smp2.exe C:\ProgramData\u3bO8YL0WR.ps1 C:\ProgramData\439b721f-0545-0 C:\ProgramData\439b721f-2141-1 C:\ProgramData\8d6cec6b-5411-0 C:\ProgramData\8d6cec6b-0ab5-1 C:\ProgramData\Logic Cramble C:\ProgramData\Microleaves C:\ProgramData\MicrosoftCorporation C:\ProgramData\PrefsSecure C:\ProgramData\SearchModule C:\ProgramData\Subair C:\ProgramData\Subairs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinCDEmu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop C:\Users\ABBA\AppData\Local\*.* C:\Users\ABBA\AppData\Local\AdvinstAnalytics C:\Users\ABBA\AppData\Local\b5b7887505f4482ea91c41b0cefd6850 C:\Users\ABBA\AppData\Local\CrashRpt C:\Users\ABBA\AppData\Local\jiobodfkmdffkcajblpbomgodflafoph C:\Users\ABBA\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\ABBA\AppData\Local\minergate-cli C:\Users\ABBA\AppData\Local\UCBrowser C:\Users\ABBA\AppData\Local\YjkhPack C:\Users\ABBA\AppData\Roaming\Uninstall.exe C:\Users\ABBA\AppData\Roaming\265459cc51d14714af05031c73ab5b09 C:\Users\ABBA\AppData\Roaming\BrowserModule C:\Users\ABBA\AppData\Roaming\Microleaves C:\Users\ABBA\AppData\Roaming\UCChannel C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electrum C:\Users\ABBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\ABBA\Downloads\KMSPico Setup.iso C:\Users\ABBA\Downloads\KMSpico_patch C:\Users\ABBA\Downloads\pobierz_*.exe C:\Users\Public\Desktop\Download Registrypatch....lnk C:\Users\Public\Desktop\magicdisk.lnk C:\Windows\msdownld.tmp C:\Windows\system32\*.tmp C:\Windows\system32\Drivers\cryptfd.sys C:\Windows\system32\Drivers\vcdrom.sys C:\Windows\SysWOW64\Auhardwaregl.dll C:\Windows\SysWOW64\findit.xml Folder: C:\Users\Public\Documents\XMUpdate CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Chrome jest mocno zainfekowane, więc najlepiej tu założyć nowy profil. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Ustawienia > karta Ustawienia > Osoby > utwórz nowy profil i uruchom go > poprzednie okno Chrome zamknij i z poziomu nowego profilu skasuj w Osobach poprzedniego użytkownika. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Na koniec: 1. Zastosuj DelFix, by usunąć używane narzędzia. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Explorer do wersji 11 (nawet jeśli z niego nie korzystasz). Upewnij się, że reszta aktualizacji z Windows Update jest zaaplikowana. To wszystko.

Czy Chrome też było czyszczone? I zapomniałaś podać nowe logi FRST z opcji Skanuj. Trudno powiedzieć. Wstępna diagnostyka od strony software w tym artykule: KLIK.

Do usunięcia są jeszcze odpadkowe zadania w Harmonogramie. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Task: {1E3E029E-8A67-41C1-B05D-8930D8D5061F} - System32\Tasks\{46FC16A6-753D-42E5-B569-E9091E9B0A2A} => D:\start.exe Task: {38E82E58-252D-4A9C-8EC7-9F068B4B458C} - System32\Tasks\{7FEE7A07-E358-4742-B1A4-A235E4A415ED} => D:\start.exe Task: {5072B7A2-BBA6-4B15-BB6C-FF7668A163DD} - System32\Tasks\{74B4FD57-CA51-464D-B2EB-BFA59E6D241D} => D:\start.exe Task: {52D5F3F8-BE38-49AF-A7A4-56E4E064D97A} - System32\Tasks\{114EA879-A4C5-4DC7-8487-67DDB07A3CDD} => C:\Program Files (x86)\LucasArts\Star Wars® Knights of the Old Republic® COLLECTION\swkotor.exe Task: {604A0514-77C2-4F27-AEF9-1A59B666D76F} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\VideErroroReporting => C:\\ProgramData\\WindowsVideoErrorReporting\\wvermgr.exe Task: {777181A4-41A4-46A7-AFCE-910EF1FFA9F3} - System32\Tasks\{8F1F9A0F-CC95-4C47-B243-A24461635CD8} => D:\start.exe Task: {81136C5F-F319-4992-85B3-997CD9E0F60D} - System32\Tasks\{A8381DDB-DD9A-4E67-A55F-267A680D818E} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_NormandyCrash.exe -d C:\Users\Admin\Downloads Task: {8CD04E0E-577F-49A3-9BEE-6014A1AD3299} - System32\Tasks\{5ECD89E2-2474-4DC7-BCB7-553BC440D67E} => D:\start.exe Task: {A07A2632-17EC-4ECD-A463-5F4E7FD770AA} - System32\Tasks\{B8064F46-7468-4884-97EB-94A83CBAED4C} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_CerberusArc.exe -d C:\Users\Admin\Downloads Task: {A3AC129A-4982-4D0F-AE1F-7B5DC3ADB7B7} - \Hafez Video Converter -> Brak pliku Task: {B7C60ECE-E024-4D9D-A906-90F8B8A793FB} - System32\Tasks\{4B9EE198-1D99-448A-88F9-F284F386AA94} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_Kasumi.exe -d C:\Users\Admin\Downloads Task: {B8991878-9CB9-4D98-875C-52ECC4609D0B} - System32\Tasks\{3D99E44C-7E90-4475-A0F7-0FBC509CAE45} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_CerberusWpnArmor.exe -d C:\Users\Admin\Downloads Task: {BB99E143-5CC3-481F-95DA-6433998CCA09} - System32\Tasks\{170672F0-B11A-4925-A63A-AF8237EB888B} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_Zaeed.exe -d C:\Users\Admin\Downloads Task: {D0C83FEB-3C85-4C69-A80C-BAABDAA1C3F3} - \SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41 -> Brak pliku Task: {E54CA4D8-8116-401B-ACD3-DC11EF34AA2E} - \UCBrowserUpdater -> Brak pliku Task: {F636BD17-054E-4458-A57C-D4755C858F6C} - System32\Tasks\{B3DBC376-C7E6-4FE0-B9FF-D5581F88B093} => pcalua.exe -a C:\Users\Admin\Downloads\nox_setup_v3.8.0.5_full_intl.exe -d C:\Users\Admin\Downloads Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nic nie było zmieniane jeszcze. Prawdopodobnie masz ustawione jakieś funkcje "autouzupełnień" URL, gdyż u mnie zarówno na Chrome jak i Firefox wklepanie gołego "fixitpc.pl" nie powoduje autoprzekierowania na "www.fixitpc.pl".

Nowa wersja FRST z poprawką właśnie wydana. Zaktualizuj FRST i zrób skan, ale dostarcz tylko log Addition.txt.

To proces powiązany z działaniem Harmonogramu zadań. Uprzednio były zadania adware w systemie, obecnie usunięte, więc możliwe że częstotliwość występowania tego procesu zmniejszy się. Pełna lista oprogramowania: Nie edytuj już pierwszego posta, dodając tam nowe logi. I uwaga na przyszłość: nie dostarczaj logów z katalogu C:\FRST\Logs (mają daty w nazwach) - to archiwum logów, bieżące są zawsze tam skąd uruchamiasz FRST - w przypadku ostatniej porcji logów był to Pulpit. Poprawki: 1. Usunięcie pozostałych szczątków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files\Baidu Security\Baidu Antivirus\5.4.3.148966.0\BavShx.dll -> Brak pliku Task: {EDE4AB9F-9564-4056-BD5D-DE65132B9CDD} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Morgan Stream Switcher StartBatch: del /q "C:\Users\Aga\Desktop\PULPIT\Avast Free Antivirus.lnk" del /q "C:\Users\Aga\Desktop\PULPIT\Continue Adobe Flash Player installation.lnk" del /q "C:\Users\Aga\Desktop\PULPIT\Continue CloneCD installation.lnk" del /q C:\Windows\Reimage.ini EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Nie widzę zmian w Firefox, brak śladów resetu profilu. Podobnie w Chrome widać ustawienia Bing wprowadzone przez instalację PUP. Czyli wykonaj co mówiłam wcześniej i po tym zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Fix FRST pomyślnie wykonany. AdwCleaner wykrył dwa odpadkowe klucze adware - uruchom program ponownie i tym razem przeprowadź usuwanie. Ale jeszcze nie kończymy tematu. Ze względu na błąd w FRST, Harmonogram zadań nie został poprawnie przeskanowany (zero wykrytych elementów, a spodziewane conajmniej kilka) i nie wiadomo co tam jest. Oczekuję na naprawę tego. Zawiadomię gdy pojawi się nowa wersja FRST i poproszę o nowy log Addition.txt. EDIT: Usuwam dodane logi. Na razie przecież nie ma nowej wersji FRST, więc logi pokazują nadal to samo co wcześniej. Jak mówiłam, zawiadomię, gdy pojawi się nowa wersja.

Wszystko zgodnie z planem, blokady programów zdjęte. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Plumbytes Software StartBatch: del /q C:\Users\Admin\Downloads\sp0twyow.exe netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W raportach widać infekcję DNS (Izraelskie adresy IP wstawione masowo dla wszystkich interfejsów sieciowych), a także zadania adware w Harmonogramie. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Badanie mające na celu poprawę produktów HP Deskjet 2540 series (zbędny program), Reimage Protector (wątpliwy program typu PUP), McAfee Security Scan Plus (zbędny program). Sugeruję także pozbyć się Baidu Antivirus ze względu na reputację producenta. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{61DAA90B-BF4B-4A43-9CE6-42A0042F900A}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{91F0582E-3F06-4984-8A0F-02FFF7CAC157}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{B0EED1B6-CB08-48FD-8EC9-4DE53AF502C5}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{EC6C85EE-BC11-4C4E-BC8E-22B7F884A041}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{EE020378-6564-467D-A549-964357A0CF26}: [NameServer] 82.163.142.7 95.211.158.134 Task: {0006EC56-5C34-4D34-A4BA-77E658B7072A} - System32\Tasks\Price Fountain => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: {0665EF15-6A1A-406C-BEB4-00649E3CE4F3} - System32\Tasks\{D19C68BE-9B62-4B50-B25B-B60FB75B4256} => pcalua.exe -a C:\Users\Aga\Downloads\jxpiinstall.exe -d C:\Users\Aga\Downloads Task: {3E77C65F-79B4-4614-86A5-8035F5898F41} - System32\Tasks\UpdateAdmin => C:\Users\Aga\AppData\Local\UpdateAdmin\UpdateAdmin.exe <==== UWAGA Task: {53C142B3-3A5B-4D96-B67D-DBB74D9774EC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-01-30] (AVAST Software) Task: {B5221251-46B5-4EA1-9553-B86D37AD52A6} - System32\Tasks\MailRuUpdater => C:\Users\Aga\AppData\Local\Mail.Ru\MailRuUpdater.exe Task: {DBEF82AB-6677-4837-B3AA-86A5D1F3A8D7} - System32\Tasks\blogcreativeorglropsm => Chrome.exe blogcreative.org/lropsm <==== UWAGA Task: {F2AA0768-AF1C-46BD-8167-88AC6C706808} - System32\Tasks\AgaCuffingInnervationV2 => Rundll32.exe DazednessAtheisms.dll,main 7 1 <==== UWAGA Task: {F76BFCD1-5B31-4C2A-8892-9D7E412E6421} - System32\Tasks\{6F2BB630-31D6-4E4C-12D6-22B05E43802A} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\dd11eb1b\ae390402.dll" <==== UWAGA Task: C:\Windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe <==== UWAGA Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Aga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\Windows\Tasks\Sparta D1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta N.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta W1.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA Task: C:\Windows\Tasks\Sparta W2.job => C:\Program Files\Google\Chrome\Application\chrome.exe ”--app=hxxp:/plarium.com/play/en/sparta/ <==== UWAGA S3 ALSysIO; \??\C:\Users\Aga\AppData\Local\Temp\ALSysIO.sys [X] U0 aswVmm; Brak ImagePath HKLM\...\Run: [] => [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [BingSvc] => C:\Users\Aga\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-03-09] (© 2015 Microsoft Corporation) HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\...\Run: [mailruhomesearch] => "C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred GroupPolicy: Ograniczenia ? <======= UWAGA GroupPolicy\User: Ograniczenia ? <======= UWAGA HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-2516821565-3541718767-3179136043-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040 SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = SearchScopes: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Aga\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Aga\Desktop\BESTplayer.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{554EBE31-AEC1-4E34-BCE3-606467760D88}\localserver32 -> "C:\Users\Aga\AppData\Local\TNT2\2.0.0.2030\TNT2User.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-2516821565-3541718767-3179136043-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\Common Files\AV\avast! Antivirus C:\Users\Aga\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Aga\AppData\Local\Mail.Ru C:\Users\Aga\AppData\Local\Microsoft\BingSvc C:\Users\Aga\AppData\Local\Opera Software C:\Users\Aga\AppData\Local\UpdateAdmin C:\Users\Aga\AppData\Local\{4F53AA78-FE9E-4769-B97D-CCF83A64758B} C:\Users\Aga\AppData\Local\{C8BB3E69-11C4-4B6B-B098-FF9E0CCB1647} C:\Users\Aga\AppData\Roaming\*.* C:\Users\Aga\AppData\Roaming\Opera Software C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt.

W systemie nadal działa ogromna ilość szkodliwych elementów, a antywirusy są zablokowane metodą Niezaufanych certyfikatów. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj wątpliwy program Plumbytes Anti-Malware 2017. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] () R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458] HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe HKLM\...\RunOnce: [KOMPUTEREK] => C:\Windows\Temp\g445F.tmp.exe [313856 2017-06-11] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [e2r2-dqG-i.exe] => C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440\e2r2-dqG-i.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [7QjUzbh.exe] => C:\Users\Admin\AppData\Local\Temp\bfd0ceadeeff4bb7b543fedb69ed363a\7QjUzbh.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [g5r5bvtQx.exe] => C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7\g5r5bvtQx.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [G2SljB6G6ktJQ.exe] => C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128\G2SljB6G6ktJQ.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [Goblyw3fZx.exe] => C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec\Goblyw3fZx.exe [274944 2017-06-10] () ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Brak pliku BHO: VKOKAdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VKOKAblockIE\t7XYIfbUR.dll => Brak pliku HKU\S-1-5-21-1768268483-3808830105-315920841-1000\Software\Microsoft\Internet Explorer\Main,Start Page = GroupPolicy: Ograniczenia - Chrome FirewallRules: [{48B34065-295C-4828-9BE8-083D0598A8EB}] => (Allow) C:\Windows\system32\rundll32.exe FirewallRules: [{63460BFC-9796-4764-BE1A-06D9E1ADE21B}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{B09F3E96-572A-44DA-8AEF-7460A7D94F2F}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{49D76C2E-8733-40AF-85CD-707349E02C6C}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{80F63EEC-7473-4A05-A2C0-469F2DC1E9AF}] => (Allow) C:\Windows\System32\rundll32.exe DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\GUT2CF9.tmp C:\Program Files (x86)\UCBrowser C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440 C:\ProgramData\WindowsVideoErrorReporting C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Centrum pomocy produktów EA.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Przeglądaj plik Readme.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{CF057CC4-4F39-42AF-A61E-6B4DE25C7AF2} C:\ProgramData\Microsoft\Windows\GameExplorer\{C7BFE639-CE26-4F2C-9239-76541CCB0933} C:\Users\Admin\AppData\Local\installer.dat C:\Users\Admin\AppData\Local\test_db_cara.db C:\Users\Admin\AppData\Local\TroubleshooterConfig.json C:\Users\Admin\AppData\Local\{12A8CCFE-3C33-4995-BAD8-074E4C5B22FD} C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128 C:\Users\Admin\AppData\LocalLow\VKOK C:\Users\Admin\AppData\Roaming\aa59a429f78e41c1afe07429c433b20c C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec C:\Users\Admin\AppData\Roaming\1a7fa33c17c847c4aee3a60ba065f9c6 C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7 C:\Users\Admin\AppData\Roaming\02e8a25c1de946749c7ef6d2dcdd74a0 C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cockmkcmoohjkdpaiglfomnfapioccfd C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha C:\Users\Admin\Desktop\Gmail.lnk C:\Users\Admin\Desktop\games\Mass Effect.lnk C:\Users\Admin\Desktop\games\McAfee Security Scan Plus.lnk C:\Windows\System32\drivers\cryptfd.sys C:\Windows\System32\Tasks\Hafez Video Converter C:\Windows\System32\Tasks\SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41 Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie przejdź w Tryb awaryjny Windows, uruchom FRST i klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Operze CTRL+SHIFT+E i na liście rozszerzeń sprawdź co się wyświetla. Jeśli widać tam dwa dziwne rozszerzenia, odinstaluj. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Skoro nie używany, to usunie go poniższy skrypt. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] () RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\GOKUiSOUNF\Doctor Web RemoveDirectory: C:\Windows\AutoKMS Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. I wypowiedz się czy po usuwaniu nadal są zgłoszenia AVG.

Skasuj z dysku plik C:\delfix.txt. To wszystko.