picasso

Trzeba nanieść poprawki na wyniki AdwCleaner. Nie wszystkie wyniki są do usunięcia (fałszywe alarmy na OneClickInternet, trzeba przewertować też wyniki z rejestru czy aby nie ma czegoś poiązanego). Na przejrzenie raportu potrzebuję trochę czasu. Na razie skomentuję: Ta część tycząca Google Chrome nie została poprawnie wykonana: AdwCleaner widzi nadal wyszukiwarki search.delta-homes.com + default-search.net. Usuń je z poziomu opcji Google Chrome.

Do usunięcia jeszcze przestarzały Spybot - Search & Destroy 2. Następnie wróć do instrukcji tworzenia raportów i dostarcz komplet logów. FRST tworzy trzy logi.

Program nie został poprawnie pobrany, plik jest uszkodzony. Należy pobrać ponownie. Ale zanim to zrobisz, przygotuj grunt: - Odinstaluj wątpliwy YAC (Yet Another Cleaner) - to jest podejrzany program i może tworzyć problemy. Temat z forum: KLIK. Deinstalacja szkodnika YAC już może pomóc usprawnić system. - Odinstaluj przestarzały Spybot - Search & Destroy 2. - Wyłącz osłony Avast. Heurystyka Avast obecnie uniemożliwia pobranie FRST (klasyfikuje jako "malware" i blokuje ściąganie).

Nie wygląda na to, by Zoek cokolwiek zrobił. Klucz zostanie usunięty za pomocą FRST. Do Notatnika wklej: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Detekcje są błahe, lecz zgodne z prawdą. To są po prostu wykryte instalatory mające adware / niechciane instalacje dodatowe: - CDBurnerXP: integracja platformy reklamodawczej OpenCandy. Należy pobierać wersję bez sponsora. - Alcohol 120%: wymuszanie instalacji Smart File Advisor. Detekcja wielokrotna, gdyż ESET wykrył pobrany instalator, jego fragment w Tempach oraz Koszu, plus link dobrychprogramów. Notabene, uwaga na dobreprogramy.pl i inne portale: KLIK. Oznak infekcji brak, ale możesz wykonać kosmetykę pustych wpisów i czyszczenie Temp. W Addition są też następujące zgłoszenia: ==================== Restore Points ========================= ATTENTION: System Restore is disabled. Check "winmgmt" service or repair WMI. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Następnie włącz Przywracanie systemu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2660333226-2956138994-4221737075-1000\...\Run: [Power2GoExpress] => NA BootExecute: autocheck autochk * sdnclean64.exe ProxyServer: [s-1-5-21-2660333226-2956138994-4221737075-1001] => localhost:8080 SearchScopes: HKU\S-1-5-21-2660333226-2956138994-4221737075-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 IAStorDataMgrSvc; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath U2 wlidsvc; No ImagePath C:\Users\Pit\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\UpdatusUser\Desktop\*.lnk RemoveDirectory: D:\$RECYCLE.BIN Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, ale dostarcz tylko nowy plik Addition. Dołącz też plik fixlog.txt.

Próbując rozwiązać problem zainstalowałeś program z czarnej listy - SpyHunter. Z daleka od tego wątpliwego produktu! Infekcję Surfvox nabyłeś przypuszczalnie z jakiejś lewej paczki pobranej z torrent lub innego podejrzanego źródła. Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj SpyHunter i starą wersję Java 7 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-922980303-2826830891-3979983212-1001\...\Run: [nvxasync] => C:\Users\Marek Markiewicz\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-11] () HKU\S-1-5-21-922980303-2826830891-3979983212-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-11] () InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\more.url -> hxxp://adf.ly/pRzv6 InternetURL: C:\Users\Marek Markiewicz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VLC Helper.com.url -> C:\ProgramData\vlc_64.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; \SystemRoot\system32\DRIVERS\ewusbdev.sys [X] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKU\S-1-5-21-922980303-2826830891-3979983212-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-922980303-2826830891-3979983212-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-922980303-2826830891-3979983212-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 CHR HomePage: Default -> hxxp://www.surfvox.com/ CHR StartupUrls: Default -> "hxxp://www.surfvox.com/" CHR DefaultSearchKeyword: Default -> surfvox.com CHR DefaultSearchURL: Default -> http://www.google.com/?cx=partner-pub-0900663996874144%3A6813731868&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.surfvox.com%2F&ref=&ss= C:\ProgramData\vlc_64.exe C:\ProgramData\nvxasync C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Real Boxing C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VobSub C:\Users\Marek Markiewicz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marek Markiewicz\AppData\Roaming\chportu C:\Users\Marek Markiewicz\AppData\Roaming\nvxasync C:\Users\Marek Markiewicz\AppData\Roaming\Microsoft\Word\siwz_10.02.2015%20wod-kan304268852970682016\siwz_10.02.2015%20wod-kan.doc.lnk C:\Users\Marek Markiewicz\Downloads\SpyHunter 4.12.13.4202 + Patch C:\Users\Marek Markiewicz\Downloads\SpyHunter* C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v more.url /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Nvtmru /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy fałszywą wyszukiwarkę Google która kieruje do surfvox.com: hxxp://www.google.com/?cx=partner-pub-0900663996874144%3A6813731868&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.surfvox.com%2F&ref=&ss=. Nie ruszaj poprawnej wyszukiwarki Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt,

Skan FRST wykazuje rozwalone klasy związane z asygnacją domyślnej przeglądarki. Operacja wstępna: 1. Na początek spróbuj przeładować ustawienia za pomocą opcji, dwukrotnie je przebijając. - Panel sterowania > Sieć i Internet > Opcje internetowe > Programy > Ustaw jako domyślny. - W Operze: Ustawienia > Ustaw przeglądarkę Opera jako domyślna. 2. Po tej akcji nowy skan FRST - do Notatnika wklej: Reg: reg query HKCU\Software\Classes\.crx /s Reg: reg query HKCU\Software\Classes\.htm /s Reg: reg query HKCU\Software\Classes\.html /s Reg: reg query HKCU\Software\Classes\.nex /s Reg: reg query HKCU\Software\Classes\.shtml /s Reg: reg query HKCU\Software\Classes\.xht /s Reg: reg query HKCU\Software\Classes\.xhtml /s Reg: reg query HKCU\Software\Classes\ftp /s Reg: reg query HKCU\Software\Classes\http /s Reg: reg query HKCU\Software\Classes\https /s Reg: reg query HKCU\Software\Classes\OperaStable /s Reg: reg query HKLM\SOFTWARE\Classes\.crx /s Reg: reg query HKLM\SOFTWARE\Classes\.htm /s Reg: reg query HKLM\SOFTWARE\Classes\.html /s Reg: reg query HKLM\SOFTWARE\Classes\.nex /s Reg: reg query HKLM\SOFTWARE\Classes\.shtml /s Reg: reg query HKLM\SOFTWARE\Classes\.xht /s Reg: reg query HKLM\SOFTWARE\Classes\.xhtml /s Reg: reg query HKLM\SOFTWARE\Classes\ftp /s Reg: reg query HKLM\SOFTWARE\Classes\htmlfile /s Reg: reg query HKLM\SOFTWARE\Classes\http /s Reg: reg query HKLM\SOFTWARE\Classes\https /s Reg: reg query HKLM\SOFTWARE\Classes\OperaStable /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. W zależności od wyników uzupełnię brakujące dane podając import rejestru.

Błędy: "Odmowa dostępu" GMER oraz "Error saving file" FRST = COMODO blokuje pracę narzędzi uniemożliwiając ich poprawne uruchomienie. COMODO musi zostać wyłączony na czas uruchamiania skanu. Nie, to są tylko śmieci typu adware/PUP i normalny format je oczywiście usunie. System będzie zmieniany, ale mimo to doczyść obecny XP, by dało się komfortowo przygotować do migracji. Zanim podam instrukcje doprecyzuj: Czy logi FRST na pewno pochodzą z czasu po deinstalacji? Ja nadal widzę na liście Dodaj/Usuń programy dokładnie te same pozycje, które jakoby zostały odinstalowane. Jeśli logi nie są świeże, musisz zrobić nowe raporty FRST odbijające wprowadzone zmiany, na starych nieaktualnych danych nie można pracować. Poza tym, skoro był używany AdwCleaner, to dołącz logi z folderu C:\AdwCleaner.

Na temat Komputer Świat i podobnych: KLIK. Obecnie pobieranie z portali nie jest bezpieczne. Szukanie FRST nic nie wnosi do sprawy - ten drugi log pokazujący tylko wyniki z lokalnego cache HTML5 już nieaktualny, gdyż nastąpiła reinstalacja przeglądarki. Skoro przeinstalowanie Google Chrome pomogło, to na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

W innym temacie sprawdziłam już log z Process Monitor i nic z niego nie wynika - brak jawnego modułu czy innego widocznego obcego elementu. Mnie się wydaje, że adware podmienia któryś z globalnych plików Chrome (problem się przenosi na nowe profile, ale pomaga reinstalacja przeglądarki). Problem występuje tylko w Chrome, w innych przeglądarkach nie. Nie mam instalatora tego dziadostwa, by to sprawdzić.

Podaj link skąd był pobierany ten "downloader youtube". Posiadanie instalatora adware ułatwiłoby mi zadanie. W logu Process Monitor żadnych wyraźnych informacji. Nie wiem jaką metodą adware się ładuje, skoro już brak procesów Positive Finds, ale objawy sugerują injekcję skryptu / podmianę któregoś manifestu Chrome. 1. Dodaj jeszcze szukanie na frazy tytułowe: ----> Uruchom FRST i w polu Search wklej: positivefinds;positive finds Klik w Search Registry i dostarcz wynikowy log. ----> Uruchom FRST i w polu Search wklej: *positive* Klik w Search Files i dostarcz wynikowy log. 2. W związku z faktem, że problem występuje także na nowym profilu Chrome, do wdrożenia całkowita reinstalacja przeglądarki: Wyeksportuj tylko i wyłącznie zakładki. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję: KLIK. Zaimportuj zakładki, nie instaluj żadnych rozszerzeń. Podaj czy problemy nadal występują. Również potwierdź, że problem nie występuje na Internet Explorer.

Nic z tego nie wynika, tylko tyle widać, że w Chrome "Local Store" przekierowanie gromadzi dane, ale to jest tylko cache. 1. Nagraj log czasu rzeczywistego co się dzieje podczas aktywności przeglądarki. Zamknij przeglądarkę Google Chrome. Uruchom Process Monitor. Następnie uruchom Google Chrome i otwórz stronę wyświetlającą reklamy, poczekaj aż się wyświetlą wszystkie szkodliwe elementy. Na koniec zatrzymaj nagrywanie w Process Monitor ikonką lupki na pasku narzędzi i zapisz log PML. Plik ten spakuj do ZIP, shostuj gdzieś i podaj do tego link. 2. Sprawdź czy problem występuje na nowym profilu Google Chrome: Menu ustawienia > Ustawienia > Osoby > Dodaj osobę > uruchom ten profil (po uprzednim przeładowaniu przeglądarki Google Chrome).

1. Uruchom AdwCleaner ponownie i wybierz opcje Szukaj + Usuń. Następnie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\1\Downloads\rlq6327p.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

To już drugi temat w którym jest ten sam problem i jeszcze nie zdiagnozowałam w czym problem. Adware odinstalowane, w logu w konfiguracji przeglądarki Google Chrome nie widać nic podejrzanego. Sprawdź czy problem występuje na nowym profilu Google Chrome: Menu ustawienia > Ustawienia > Osoby > Dodaj osobę > uruchom ten profil (po uprzednim przeładowaniu przeglądarki Google Chrome)

To jakaś nowa forma adware, nie wiem w jaki sposób się ładuje w Chrome, pomimo deinstalacji. "Niestety" wszystko wygląda w porządku na obrazkach. Pokaż mi jeszcze: 1. Zrzut ekranu z Menu ustawień > Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > całe okno. 2. Dokładny spis wszystkich komponentów Chrome. Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\Google Folder: C:\ProgramData\Google Folder: C:\Users\agata_000\AppData\Local\Google Reg: reg query HKCU\Software\Google /s Reg: reg query HKLM\SOFTWARE\Google /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynukowy fixlog.txt. 3. Uruchom także Junkware Removal Tool i podaj log wynikowy.

Wszystko zrobione. Teraz poprawki: 1. Towarzystwem Safari był program Apple Software Update i nadal go widać. Odinstaluj go. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CinPl2.3c DeleteKey: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} DeleteKey: HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] C:\Program Files\McAfeeEx C:\Program Files\PCDApp C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Lavalys C:\Program Files (x86)\Lexmark Toolbar C:\Program Files (x86)\NortonInstaller C:\Program Files (x86)\Opera C:\Program Files (x86)\RegClean Pro C:\Program Files (x86)\Systweak Support Dock C:\Program Files (x86)\Temp C:\Program Files (x86)\VideoLAN C:\Program Files (x86)\WildTangent Games C:\Program Files (x86)\Winamp C:\Program Files (x86)\Common Files\mcafee C:\Program Files (x86)\Common Files\Symantec Shared C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\AVG C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IM C:\ProgramData\IncrediMail C:\ProgramData\Internet Content Filter C:\ProgramData\iolo C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\PriceMeterLiveUpdate C:\ProgramData\RadiantViewer C:\ProgramData\Roaming C:\ProgramData\Sun C:\ProgramData\WildTangent C:\Users\Ewa\AppData\Local\cache C:\Users\Ewa\AppData\Local\Comodo C:\Users\Ewa\AppData\Local\GG C:\Users\Ewa\AppData\Local\IM C:\Users\Ewa\AppData\Local\Installer C:\Users\Ewa\AppData\Local\Opera Software C:\Users\Ewa\AppData\Local\RadiantViewer C:\Users\Ewa\AppData\Local\Wild Tangent C:\Users\Ewa\AppData\Local\WorldofTanks C:\Users\Ewa\AppData\Local\_ C:\Users\Ewa\AppData\LocalLow\Goobzo C:\Users\Ewa\AppData\LocalLow\smileyswelove C:\Users\Ewa\AppData\LocalLow\Sun C:\Users\Ewa\AppData\LocalLow\trustedshopper C:\Users\Ewa\AppData\Roaming\8floor C:\Users\Ewa\AppData\Roaming\AVG C:\Users\Ewa\AppData\Roaming\eCyber C:\Users\Ewa\AppData\Roaming\DAEMON Tools Lite C:\Users\Ewa\AppData\Roaming\Elex-tech C:\Users\Ewa\AppData\Roaming\GG C:\Users\Ewa\AppData\Roaming\iolo C:\Users\Ewa\AppData\Roaming\Opera Software C:\Users\Ewa\AppData\Roaming\Oracle C:\Users\Ewa\AppData\Roaming\QuickScan C:\Users\Ewa\AppData\Roaming\smileyswelove C:\Users\Ewa\AppData\Roaming\trustedshopper C:\Users\Ewa\AppData\Roaming\WildTangent C:\Users\Ewa\AppData\Roaming\WorldofTanks C:\Users\Ewa\Downloads\yet_another_cleaner_gam_setup_11656.exe C:\WINDOWS\system32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynukowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Wszystko zrobione. Kolejne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres isearch.omiga-plus.com 2. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\OpenOffice.org 2.4 C:\Program Files (x86)\SqueakyChocolate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 C:\Users\1\AppData\Roaming\OpenOffice.org2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

joteS, nie ma widocznych obiektów adware w przeglądarce Google Chrome, ale definitywnie adware się kręciło na terenie, gdyż są polityki blokujące jakieś funkcje Google Chrome. Na razie do usunięcia będą te polityki Google oraz puste wpisy. Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-1724923808-888998429-4109841444-1001 -> {9CCD73BD-36BB-49C0-862D-328234F47311} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1724923808-888998429-4109841444-1001\...\Run: [] => [X] HKU\S-1-5-21-1724923808-888998429-4109841444-1001\...\RunOnce: [Adobe Speed Launcher] => 1423766351 CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {5193FCF5-9D70-4C3A-860D-0108652B8263} - System32\Tasks\{B55D21D3-77E5-4D5B-8E2C-FE9D417CDA30} => H:\AutoCAD.2010.x64.PL\AutoCad_2010_Crack\Crack\x86\xf-a2010.exe Task: {EA622C4B-ED77-4B84-88E2-7274AB78D701} - System32\Tasks\{D86A9DB9-8B9C-47C8-A3EA-740B5E56EE1C} => H:\AutoCAD.2010.x64.PL\AutoCad_2010_Crack\Crack\x86\xf-a2010.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Dodatkowo zrób zrzut ekranu z tego okna Google Chrome, tak by było widać dobrze wszystkie rozszerzenia: Ustawienia > karta Rozszerzenia > zaznacz Tryb programisty.

Zapomniałam podać jeszcze do deinstalacji ten trzeci, którego nie widziałeś. Uruchom ponownie Zoek i wklej w oknie: AutoUpdate;u Klik w Run Script. Przedstaw nowy wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Myślę, że możemy już kończyć, ale sugeruję jednak przeskanować wszystkie dyski jeszcze raz jakimś antywirusem.

Podałam poprawny link do do serwera Microsoftu. Jeśli kliknięcie go prowokuje pobranie czegoś innego, to prawdopodobnie adware obecne w systemie przekierowuje linki. YAC (Yet Another Cleaner) oczywiście do usunięcia / deinstalacji i leć dalej z instrukcjami.

Nie wiem dlaczego jest problem z przeklejaniem. To nowe podejście również ma babole i kilka wpisów się nie przetworzyło. Poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej: Task: {E1CE4C8C-D2A8-4848-AF9F-8ECB1A4EF43F} - System32\Tasks\{9823F287-BD34-40DB-A9A5-3230637A2D18} => pcalua.exe -a "C:\Program Files (x86)\YooutubeAdBlocke\Ueeg3E45njoPSX.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" C:\ProgramData\Malwarebytes C:\Users\zawias\AppData\Local\Adobe C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Deinstalacja nie usunęła wszystkiego, m.in. ogromna ilość sterowników adware na chodzie. Przechodzimy do poprawek: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {16a92140-918d-4afb-9edb-46f22437bb10}w64; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys [48792 2015-01-25] (StdLib) R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [48792 2015-01-28] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}w64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys [48792 2015-01-20] (StdLib) R1 {915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64; C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64.sys [48792 2015-01-22] (StdLib) R1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [48792 2015-01-09] (StdLib) R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64.sys [48792 2015-01-13] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}w64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys [48792 2015-01-16] (StdLib) R1 {f81878fa-25e9-442d-8ada-79658b6520f2}w64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}w64.sys [48792 2015-01-10] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2014-12-29] (XTab system) R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [366832 2015-02-04] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} BHO-x32: Dynamo Combo 1.0.0.7 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoComboBHO.dll (Dynamo Combo) Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6" CHR DefaultSearchKeyword: Default -> omiga-plus C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GoodGameEmpire.lnk C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoodGameEmpire C:\Users\1\Desktop\GRY\GoodGameEmpire.lnk C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64.sys C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}w64.sys CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Dynamo Combo. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Deinstalacja jakoby usunęła adware. Czy widzisz nadal w którejś przeglądarce (przede wszystkich Google Chrome) objawy? I poprawki pod kątem wpisów pustych i różnych odpadków: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-2928405230-1758367624-1279515289-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki SearchScopes: HKU\S-1-5-21-2928405230-1758367624-1279515289-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKU\S-1-5-21-2928405230-1758367624-1279515289-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-2928405230-1758367624-1279515289-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-2928405230-1758367624-1279515289-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2928405230-1758367624-1279515289-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-2928405230-1758367624-1279515289-1000\...\Policies\Explorer: [HideSCAHealth] 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CHR HKLM-x32\...\Chrome\Extension: [cmaiofennmphjldldcpphcechfnnohja] - C:\Program Files (x86)\AdTrustMedia\PrivDog\PrivDog_chrome.crx [Not Found] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X] S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {0B530EAE-70AD-4FC2-AE43-5DEC729AD2FD} - System32\Tasks\{7C4EE3A1-2CD4-4F14-88B7-F01E56722164} => pcalua.exe -a C:\Users\Mistgun\Downloads\gothic1_playerkit-1.08k.exe -d C:\Users\Mistgun\Downloads Task: {18D4C05A-4115-47BA-A290-DA8C64BA094C} - System32\Tasks\{469698B5-584E-4069-8A9D-5A1C68FD4F3E} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\VSIXInstaller.exe" -c "C:\Users\Mistgun\Downloads\ThemeManagerPackage (1).vsix" Task: {9B106A34-8F07-4C4F-9B6C-7C8267241F59} - System32\Tasks\{C63BDC66-300F-46CD-AC86-7D5D6BF1479F} => pcalua.exe -a "C:\Program Files (x86)\Piranha Bytes\Materiały Dodatkowe\gothic1_playerkit-1.08k.exe" Task: {D5638E5A-A6B1-46C4-8AE4-4E9B8E51C144} - System32\Tasks\{1FAA09E0-1779-4648-9724-269067EC6686} => pcalua.exe -a C:\Users\Mistgun\Downloads\chromeinstall-7u60.exe -d C:\Users\Mistgun\Downloads C:\Program Files (x86)\36bd3391.tmp C:\Program Files (x86)\Common Files\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602 C:\ProgramData\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602.rar C:\ProgramData\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602 C:\Users\Mistgun\AppData\Roaming\IHlpr C:\Users\Mistgun\Downloads\bankerfix.exe C:\Users\Mistgun\Downloads\plugincontainer.bak C:\Users\Mistgun\Downloads\Niepotwierdzony*.crdownload C:\Windows\msdownld.tmp C:\Windows\pss\genesis_08132043.lnk.Startup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Mistgun^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^genesis_08132043.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetLimiter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

Do usunięcia są tylko programy, które podałam w spoilerze, czyli 24 pozycje o konkretnych nazwach. Inne obiekty pokazane w narzędziu Cię nie interesują. Owszem, niewdzięczna robota z wielokrotnym uruchamianiem narzędzia.