picasso

OTH Platforma: Windows XP, Vista, Windows 7 32-bit http://oldtimer.geekstogo.com/OTH.exe http://oldtimer.geekstogo.com/OTH.com http://oldtimer.geekstogo.com/OTH.scr (wersje COM i SCR, jeśli nie można uruchomić wersji EXE) Program pomocniczy do uruchamiania narzędzi logów, głównie aplikacji OTL. Umożliwia przygotowanie czystego podkładu przed startem aplikacji właściwej poprzez wstępne zabicie wszystkich procesów, co może zredukować niektóre problemy wynikające z działania infekcji wpływającej negatywnie na OTL i podobne. Po zabiciu procesów jest możliwe: uruchomienie OTL lub innego określonego programu, start przeglądarki by móc wejść na forum i podać log, wreszcie restart. INSTRUKCJA URUCHOMIENIA: 1. Narzędzie jest dostępne w trzech wersjach. Jeśli nie można na komputerze uruchomić wersji EXE, należy pobrać wersję COM lub SCR. 2. Jeśli ma być uruchamiany konkretnie OTL, należy pobrać program OTL. Obie aplikacje umieścić we wspólnym folderze obok siebie: 3. Po uruchomieniu OTH pojawi się miniaturowy interfejs z zestawem opcji: 4. Należy wywołać opcję Kill All Processes, która zaowocuje zamknięciem się powłoki. Następnie uruchomić OTL opcją Start OTL - jeśli narzędzia nie są we wspólnym folderze, OTH wyrzuci błąd nie znalezienia OTL. Konfiguracja i sposób uruchomienia skanu OTL bez zmian - patrz na opis w pierwszym poście. 5. Zostaną automatycznie otworzone logi w Notatniku. By je zaprezentować na forum z biegu, na planszy OTH należy wybrać opcję Internet Explorer, która uruchomi przeglądarkę. Dodatkowo w bonusie jest opcja uruchomienia dowolnej innej aplikacji przy udziale opcji Start Misc Program - może to być inna przeglądarka niż domyślnie proponowany IE, inne narzędzie do logów lub nawet skaner dezynfekcyjny.

Security Check (by Screen317) Platforma: Windows XP, Vista, Windows 7 32-bit i 64-bit https://www.bleepingcomputer.com/download/securitycheck/ Security Analysis (by Rocket Grannie) https://rocketgrannie.spywareinfoforum.org/RGSA.exe Pierwszy program porzucony w 2015 i zastąpiony tym drugim, który również został uśmiercony. Obie te stare i niepełnosprawne wersje zastępuje Security Check by glax24. Windows 8 i 10: Brak zgodności w przypadku pierwszego programu, drugi jako tako na nich działał. Systemy 64-bit: Programy nie są natywnie 64-bitowe, toteż pobór danych jest tylko częściowy. M.in. zainstalowane wersje określonych programów zostaną pokazane tylko w wersji 32-bit. Raport tworzący sumaryczne zestawienie podstawowych zabezpieczeń komputera (my nie bez powodu dajemy każdemu instrukcje aktualizujące po dezynfekcji). Raport nie jest obowiązkowy, gdyż podobne informacje jesteśmy w stanie uzyskać analizując FRST Addition. Omawiane tu narzędzie tworzy spis uproszczony: ogólny poziom SP systemu, wersję IE oraz status UAC na platformach Vista/7, Antivirus/Firewall Check (wykrycie oprogramowania tego rodzaju plus status Zapory Systemu Windows), Anti-malware/Other Utilities Check (zestawienie oprogramowania antymalware oraz wersji programów w rodzaju Adobe Reader czy Java, mających istotny wpływ na podatność na infekcję), Process Check (lista programów działających tłowo podczas tworzenia raportu), DNS Vulnerability Check (podatność na exploit DNS). Raport jest przepuszczany przez system klasyfikacji. Security Check jest programem konsolowym. INSTRUKCJA URUCHOMIENIA: 1. Pobrany plik uruchamiamy przez dwuklik: Na systemach Vista do Windows 7 wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Otworzy się okno konsolowe oczekujące na reakcję poprzez wywołanie dowolnego klawisza z klawiatury: `````````````````````````Security Check by screen317````````````````````````` This will check your system and display the security programs on your computer. `````````If you don't want this done for any reason, please quit now.```````` Aby kontynuować, naciśnij dowolny klawisz . . . 3. Rozpocznie się zbieranie informacji: ``Collecting Information`` Jest ono kilkuetapowe. Należy cierpliwie czekać do pokazania się tego oto komunikatu: Results have been copied to checkup.txt, which should open... now! 4. Równocześnie automatycznie otwiera się w Notatniku plik checkup.txt, odpowiednio sformatowany przy użyciu BBCode. Zawartość tego loga należy przekleić wprost do posta, nie przez Załączniki, by formatowanie było odpowiednio pokazane. Przykład raportu:

Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba) MiniToolBox Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Strona domowa Pobierz MiniToolBox - Miniaturowy pakiet opcji skanujących związanych głównie z ustawieniami sieciowymi. Skan pliku HOSTS jest ograniczony do najistotniejszych informacji, nie są wyświetlane wpisy skomentowane znakiem # (czyli nieczynne), a jeśli plik HOSTS jest ogromny tylko 20 pierwszych pozycji zostaje załączonych w raporcie. W arsenale są trzy opcje modyfikujące ustawienia, czyli reset proxy Internet Explorer i Firefox oraz opróżnianie bufora nazw DNS. INSTRUKCJA URUCHOMIENIA: 1. Pobrany plik uruchamiamy przez dwuklik: Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Otworzy się główny interfejs. Domyślnie żadna z pozycji nie jest zaznaczona, informację które dane nas interesują podamy użytkownikowi w trakcie prowadzenia jego tematu: 3. Po skonfigurowaniu opcji wg podanych w konkretnym temacie wytycznych klik w GO. Po ukończeniu skanowania automatycznie otwiera się Notatnik z wynikami. W tym samym katalogu, z którego uruchamiano narzędzie, powstanie log tekstowy MTB.txt.

To wszystko. Temat zamykam.

Jest tu ogromna ilość adware zainstalowana. Działania wstępne (usuwam też puste skróty poprawnych aplikacji - wpisy typu "No file" z Shortcut): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {01531192-f7ef-415f-a549-cfdb11836731}w64; C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w64.sys [61120 2014-04-24] (StdLib) R1 {03d08387-c95c-46e0-b2f8-4cd0ed929279}w64; C:\Windows\System32\drivers\{03d08387-c95c-46e0-b2f8-4cd0ed929279}w64.sys [48784 2015-01-03] (StdLib) R2 stdmfpam; C:\Program Files (x86)\HomeTab\stdmfpam.dll [67968 2015-01-04] () R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-13] (StdLib) R2 CboxUpdater; C:\Program Files (x86)\Cbox\CboxUpdater.exe [686592 2012-08-10] () [File not signed] S4 DefaultTabSearch; C:\Program Files (x86)\DefaultTab\DefaultTabSearch.exe [574464 2013-12-20] () [File not signed] S4 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-26] (globalUpdate) [File not signed] S4 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-26] (globalUpdate) [File not signed] R2 MaintainerSvc2.68.0219210; C:\ProgramData\f7d523a7-723b-4679-8c70-0e90e3053cba\maintainer.exe [123632 2015-01-05] () S2 mglupdate; C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [131480 2014-12-03] (Maxiget Ltd.) S3 mglupdatem; C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [131480 2014-12-03] (Maxiget Ltd.) R2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\KMPService.exe [1922600 2013-07-08] (Pandora.TV) R2 Update Surftastic; C:\Program Files (x86)\Surftastic\updateSurftastic.exe [529136 2015-01-10] () R2 Util Surftastic; C:\Program Files (x86)\Surftastic\bin\utilSurftastic.exe [529136 2015-01-10] () R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S4 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [501904 2014-02-26] (Cherished Technololgy LIMITED) HKLM-x32\...\Run: [tuto4pc_pl_21] => [X] HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\...\Run: [Cbox] => C:\Program Files (x86)\Cbox\Cbox HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\...\Run: [softonic for Windows] => C:\Users\Igor Maj\AppData\Local\Softonic\Softonic.exe [4170224 2014-04-29] (Softonic) HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\...\Run: [RGSC] => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\...\Run: [GOOBZOYouTubeAccelerator] => C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe [2227048 2014-12-28] (GOOBZO) Task: {0541F8B1-3CC2-4377-8B2F-473EF9B0C5FB} - System32\Tasks\{BFA8A38A-180C-49EB-B2D3-7CFF7BFA6889} => pcalua.exe -a "C:\Program Files (x86)\Harpo\AfaSystem\Drivers\Mdac_typ (1).exe" -d "C:\Program Files (x86)\Harpo\AfaSystem\Drivers" Task: {0AEDD9B4-0F6D-4DB4-8F8A-C6AB09E50581} - System32\Tasks\FTdownloader V4.0-codedownloader => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-codedownloader.exe [2013-07-16] (installdaddy) Task: {180B68EA-F493-4395-A2D9-6C842F138983} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {1A73ACEF-4425-4747-BA80-1D63CC15C6FE} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-11 => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-11.exe [2014-11-26] (OB) Task: {1AC78DD3-32C0-46FE-8AE2-B6790624FEB3} - System32\Tasks\{528A6D14-F3A4-4F38-9784-34EB5F83F608} => pcalua.exe -a "D:\Harpo\AfaSystem\Drivers\Mdac_typ (2).exe" -d D:\Harpo\AfaSystem\Drivers Task: {1BC62C38-26BD-471F-AA57-3351B8A8682E} - System32\Tasks\{4C197CFF-5788-4E5E-B699-9C9491311472} => pcalua.exe -a G:\Bin\demo32.exe -d G:\Bin Task: {24BCF00A-94F1-44AE-B482-FA4AC5C6D949} - System32\Tasks\AmiUpdXp => C:\Users\Igor Maj\AppData\Local\29971\a22291.exe [2014-11-25] () Task: {2CE57A19-0867-4C26-9277-43E655966B42} - System32\Tasks\{1334D7C4-5C9C-4028-B7B4-D0EF1EA708D9} => pcalua.exe -a G:\DirectX\dxsetup.exe -d G:\DirectX Task: {2DB6FB72-0B90-4EC3-8756-05041552D90F} - System32\Tasks\Installer_delay => C:\Users\Igor Maj\AppData\Local\Installer\Installdelay_5404\DCytaiesmt.exe [2014-12-28] () Task: {3164EB38-19EE-451D-9987-DA1CF17CB2F2} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-26] (globalUpdate) Task: {39DA8CC7-1D98-4AEB-88A1-C5312CE3A673} - System32\Tasks\FTdownloader V4.0-updater => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-updater.exe [2013-07-16] (installdaddy) Task: {41196206-A842-43D6-A967-A2B30297FB1B} - System32\Tasks\Digital Sites => C:\Users\IGORMA~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: {5155326F-79E2-4B78-8F93-91364F347E8D} - System32\Tasks\846ba161-fe4b-48c4-9009-58d16debec9b => C:\Program Files (x86)\SavePass 1.1\846ba161-fe4b-48c4-9009-58d16debec9b.exe [2014-11-26] (OB) Task: {5AF43C55-C69D-4C8E-B7AE-693645B197CF} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-5 => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.exe [2014-11-26] (OB) Task: {5D90B0BE-9AB1-45E7-8990-FE5CD9FB1B1D} - System32\Tasks\MaxigetUpdaterTaskMachineCore => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [2014-12-03] (Maxiget Ltd.) Task: {65116FF2-731F-451F-AD85-DE4C7D2AD71D} - System32\Tasks\{92DAFDEB-8EAE-49AA-A3CF-F11911F7471B} => pcalua.exe -a "D:\Harpo\AfaSystem\Drivers\Mdac_typ (1).exe" -d D:\Harpo\AfaSystem\Drivers Task: {7C0481AE-927E-46AC-98E9-0627F7212F0C} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-2 => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-2.exe [2014-11-26] (OB) Task: {7EB1FC43-70A2-46A8-9E53-DBC491676B51} - System32\Tasks\EPUpdater => C:\Users\IGORMA~1\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe Task: {848F2B8A-73C2-4A96-BD7C-477B0C648281} - System32\Tasks\{C61242D6-C018-4765-8ACC-95B3BF6D4B14} => pcalua.exe -a "C:\Users\Igor Maj\Desktop\plik\Pliki\Ivona_Demo-1.0\TesterSAPI.exe" Task: {96DA626F-D5BF-4B19-9CE9-5181DB31D10E} - System32\Tasks\MaxigetUpdaterTaskMachineUA => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [2014-12-03] (Maxiget Ltd.) Task: {9DC8EA01-4940-4B59-94FC-DA924FA00E53} - System32\Tasks\{F2C66048-8CBC-495E-8910-4C21266BBDD2} => pcalua.exe -a "C:\Program Files (x86)\Harpo\AfaSystem\Drivers\Mdac_typ (2).exe" -d "C:\Program Files (x86)\Harpo\AfaSystem\Drivers" Task: {A0BCB194-6864-4215-B2E0-D271E6588A5E} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-26] (globalUpdate) Task: {A1489EB8-B78C-46B5-9703-87C896A71E96} - System32\Tasks\{1343DAAB-32A8-4010-937F-F3E536EF1539} => pcalua.exe -a "C:\Users\Igor Maj\Desktop\plik\MinecraftZyczu.exe" -d "C:\Users\Igor Maj\Desktop\plik" Task: {A819C322-F2CB-4B48-B152-C166F379E653} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-5_user => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.exe [2014-11-26] (OB) Task: {D153BD6A-9A0B-4F32-A989-47D42FD7C29D} - System32\Tasks\bf56365b-b7b9-4857-8ebd-09c149107a4e => C:\Program Files (x86)\SavePass 1.1\bf56365b-b7b9-4857-8ebd-09c149107a4e.exe [2014-11-26] () Task: {D2D8A61F-15C8-4547-894A-BED62BF5D77B} - System32\Tasks\{4E9E8BF8-AE85-4EF7-9960-2955D3217A0F} => pcalua.exe -a "C:\Users\Igor Maj\Desktop\chromeinstall-7u55.vtsafe.exe" -d "C:\Users\Igor Maj\Desktop" Task: {D31580C5-F551-48D9-A525-5F372F4CFDA8} - System32\Tasks\{F8AE2302-E796-418E-88C2-BC85CBB371F5} => pcalua.exe -a "C:\Users\Igor Maj\Desktop\plik\Ivona_Demo-1.0\TesterSAPI.exe" -d "C:\Users\Igor Maj\Desktop\plik\Ivona_Demo-1.0" Task: {E786D88B-C977-4526-B79D-8C933C945F5B} - System32\Tasks\{3E5875AD-EBA3-4C5F-B034-E94600B8F092} => pcalua.exe -a E:\Uruchom.exe -d E:\ Task: {EBA9C3A1-2169-42AB-8F1B-648E348CE821} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-1 => C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-codedownloader.exe [2014-11-26] (OB) Task: {F15D6004-05C4-4D8D-9F55-FDB18A2E36DF} - System32\Tasks\FTdownloader V4.0-enabler => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-enabler.exe [2013-07-16] (installdaddy) Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-1.job => C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-codedownloader.exe Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-11.job => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-11.exe Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-2.job => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-2.exe Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.job => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.exe Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-5_user.job => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.exe Task: C:\WINDOWS\Tasks\846ba161-fe4b-48c4-9009-58d16debec9b.job => C:\Program Files (x86)\SavePass 1.1\846ba161-fe4b-48c4-9009-58d16debec9b.exe Task: C:\WINDOWS\Tasks\AmiUpdXp.job => C:\Users\Igor Maj\AppData\Local\29971\a22291.exe Task: C:\WINDOWS\Tasks\bf56365b-b7b9-4857-8ebd-09c149107a4e.job => C:\Program Files (x86)\SavePass 1.1\bf56365b-b7b9-4857-8ebd-09c149107a4e.exe Task: C:\WINDOWS\Tasks\Digital Sites.job => C:\Users\IGORMA~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\FTdownloader V4.0-codedownloader.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-codedownloader.exe Task: C:\WINDOWS\Tasks\FTdownloader V4.0-enabler.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-enabler.exe Task: C:\WINDOWS\Tasks\FTdownloader V4.0-updater.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-updater.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\MaxigetUpdaterTaskMachineCore.job => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe Task: C:\WINDOWS\Tasks\MaxigetUpdaterTaskMachineUA.job => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe Startup: C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk GroupPolicy: Group Policy on Chrome detected GroupPolicyUsers\S-1-5-21-1514046922-4189713046-1342366355-1003\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-1514046922-4189713046-1342366355-1002\User: Group Policy restriction detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:newtab HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1393331520&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1393331520&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455 HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Search Page Before = http://search.certified-toolbar.com?si=46366&tid=6221&ver=4.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=4241DC85DE5D0660&affID=125266&tsp=5029 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1393331520&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1393331520&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = String@!@http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.0&ts=1373477512431&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = String@!@http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.8&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = String@!@http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.8&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4241DC85DE5D0660&affID=125266&tsp=5029 SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {D757399F-02A6-4C04-9AF3-3376D1176145} URL = http://www.search.ask.com/web?tpid=ORJ-V7-SAT&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=&itbv=12.10.6.53&apn_uid=F4AF5AA4-31F4-4EF5-9911-57725F0E8128&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Maxthon.exe_0_4.4.0.3000&doi=2014-08-22&trgb=IE&q={searchTerms}&psv= BHO: SavePass 1.1 -> {11111111-1111-1111-1111-110611341129} -> C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho64.dll (OB) BHO: No Name -> {4F524A2D-5637-2D53-4154-7A786E7484D7} -> No File BHO: No Name -> {4F524A2D-5637-4300-76A7-7A786E7484D7} -> No File BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File BHO-x32: No Name -> {11111111-1111-1111-1111-110311551174} -> No File BHO-x32: SavePass 1.1 -> {11111111-1111-1111-1111-110611341129} -> C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll (OB) BHO-x32: HomeTab -> {19a395c9-823b-4700-b817-396fc84ffb16} -> C:\Users\Igor Maj\AppData\Roaming\HomeTab\HomeTab.dll No File BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: No Name -> {4F524A2D-5637-2D53-4154-7A786E7484D7} -> No File BHO-x32: No Name -> {4F524A2D-5637-4300-76A7-7A786E7484D7} -> No File BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File BHO-x32: No Name -> {7F6AFBF1-E065-4627-A2FD-810366367D01} -> No File BHO-x32: Windows Live Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File BHO-x32: No Name -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> No File BHO-x32: Surftastic 1.0.0.6 -> {c6673938-a52b-4dc6-af05-783e7e2c8b65} -> C:\Program Files (x86)\Surftastic\SurftasticBHO.dll (Surftastic) BHO-x32: No Name -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM - No Name - {4F524A2D-5637-4300-76A7-7A786E7484D7} - No File Toolbar: HKLM - No Name - {4F524A2D-5637-2D53-4154-7A786E7484D7} - No File Toolbar: HKLM-x32 - HomeTab - {19a395c9-823b-4700-b817-396fc84ffb16} - C:\Users\Igor Maj\AppData\Roaming\HomeTab\HomeTab.dll No File Toolbar: HKLM-x32 - No Name - {8dcb7100-df86-4384-8842-8fa844297b3f} - No File Toolbar: HKLM-x32 - No Name - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No File Toolbar: HKLM-x32 - No Name - {4F524A2D-5637-4300-76A7-7A786E7484D7} - No File Toolbar: HKLM-x32 - No Name - {4F524A2D-5637-2D53-4154-7A786E7484D7} - No File Toolbar: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL No File CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Igor Maj\AppData\Roaming\BabSolution\CR\Delta.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files (x86)\BonanzaDeals\BonanzaDeals.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [kdidombaedgpfiiedeimiebkmbilgmlc] - C:\Program Files (x86)\DefaultTab\DefaultTab.crx [2013-02-12] CHR HKLM-x32\...\Chrome\Extension: [lgnbhdnimikkoodkogjlcllngimhlapp] - C:\Program Files (x86)\FTDownloader.com\FTDownloader10.crx [2013-06-26] CHR HKLM-x32\...\Chrome\Extension: [pljcgbedjplidkdjahbaalanadmjfgop] - C:\ProgramData\AskPartnerNetwork\Toolbar\ORJ-V7C\CRX\ToolbarCR.crx [2014-03-26] FF Plugin-x32: @omaha.maxiget.com/Maxiget Updater;version=3 -> C:\Program Files (x86)\Maxiget\Updater\70.3.29.7018\npMaxigetUpdater3.dll (Maxiget Ltd.) FF Plugin-x32: @omaha.maxiget.com/Maxiget Updater;version=9 -> C:\Program Files (x86)\Maxiget\Updater\70.3.29.7018\npMaxigetUpdater3.dll (Maxiget Ltd.) FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Igor Maj\AppData\Roaming\Mozilla\Firefox\Profiles\yllgnxvt.default\extensions\quick_start@gmail.com FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{087B3AE3-E237-4467-B8DB-5A38AB959AC9}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Igor Maj\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Igor Maj\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{3B092F0C-7696-40E3-A80F-68D74DA84210}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{63542C48-9552-494A-84F7-73AA6A7C99C1}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{7BC0E710-5703-45BE-A29D-5D46D8B39262}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\ooofilt_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Igor Maj\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{AE424E85-F6DF-4910-A6A9-438797986431}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\propertyhdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Igor Maj\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\AVScanner.ini C:\Program Files (x86)\SN_x64.Booster C:\Program Files (x86)\SN.Booster C:\Program Files (x86)\FTDownloader.com C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\HomeTab C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\f7d523a7-723b-4679-8c70-0e90e3053cba C:\ProgramData\IePluginService C:\ProgramData\save net C:\ProgramData\Temp C:\ProgramData\WPM C:\ProgramData\YTAHelper C:\ProgramData\YoutubeAdblocker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alex Gordon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cbox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Feelers C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxiGet C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxiGet Software Manager C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Gość\AppData\Roaming\Maxthon3 C:\Users\Igor Maj\AppData\Local\DM C:\Users\Igor Maj\AppData\Local\globalUpdate C:\Users\Igor Maj\AppData\Local\Mobogenie C:\Users\Igor Maj\AppData\Local\OpenFM C:\Users\Igor Maj\AppData\Roaming\my_intel.sys C:\Users\Igor Maj\AppData\Roaming\sp_data.sys C:\Users\Igor Maj\AppData\Roaming\(3C-C2-43-71-C2-42) C:\Users\Igor Maj\AppData\Roaming\(A0-E4-53-CE-90-74) C:\Users\Igor Maj\AppData\Roaming\(BC-B1-F3-95-8C-49) C:\Users\Igor Maj\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\Igor Maj\AppData\Roaming\B1Toolbar C:\Users\Igor Maj\AppData\Roaming\DefaultTab C:\Users\Igor Maj\AppData\Roaming\DigitalSite C:\Users\Igor Maj\AppData\Roaming\DigitalSites C:\Users\Igor Maj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iLivid.lnk C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Softonic C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XLink Kai C:\Users\Igor Maj\AppData\Roaming\OpenFM C:\Users\Igor Maj\AppData\Roaming\systweak C:\Users\Igor Maj\AppData\Roaming\Thinstall C:\Users\Igor Maj\Desktop\plik\Apps (2).lnk C:\Users\Igor Maj\Desktop\plik\BitTorrent.lnk C:\Users\Igor Maj\Desktop\plik\Camtasia Studio 8.lnk C:\Users\Igor Maj\Desktop\plik\Cbox.lnk C:\Users\Igor Maj\Desktop\plik\Configure VO Package.lnk C:\Users\Igor Maj\Desktop\plik\Continue *.lnk C:\Users\Igor Maj\Desktop\plik\DAEMON Tools Lite.lnk C:\Users\Igor Maj\Desktop\plik\DownLite*.lnk C:\Users\Igor Maj\Desktop\plik\EA Sports FIFA World.lnk C:\Users\Igor Maj\Desktop\plik\EZDownloader.lnk C:\Users\Igor Maj\Desktop\plik\FaceRig.exe.lnk C:\Users\Igor Maj\Desktop\plik\FTDownloader.lnk C:\Users\Igor Maj\Desktop\plik\iLivid.lnk C:\Users\Igor Maj\Desktop\plik\Kontynuuj instalację Minecraft Skin Viewer.lnk C:\Users\Igor Maj\Desktop\plik\Maxthon Cloud Browser.lnk C:\Users\Igor Maj\Desktop\plik\MinecraftZyczu (3).lnk C:\Users\Igor Maj\Desktop\plik\Mobogenie.lnk C:\Users\Igor Maj\Desktop\plik\Nr 1 Klątwa Gryziwąsa.lnk C:\Users\Igor Maj\Desktop\plik\Odkurzacz.lnk C:\Users\Igor Maj\Desktop\plik\Pou*.lnk C:\Users\Igor Maj\Desktop\plik\Rockstar Games Social Club.lnk C:\Users\Igor Maj\Desktop\plik\save2pc Light.lnk C:\Users\Igor Maj\Desktop\plik\Softonic*.lnk C:\Users\Igor Maj\Desktop\plik\Source Dedicated Server.lnk C:\Users\Igor Maj\Desktop\plik\The Sims™ 2 Dla początkujących.lnk C:\Users\Igor Maj\Desktop\plik\The Sims™ 3.lnk C:\Users\Igor Maj\Desktop\plik\www.softonic.url C:\Users\Igor Maj\Desktop\plik\INTERNET\Maxthon Cloud Browser.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\Camtasia Studio 8.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\char — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\McAfee Security Scan Plus.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\Nero 2014.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\Softonic.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\śmieszne zdjęcia\2013-12-02_18.49.30 — skrót.lnk C:\Users\Igor Maj\Desktop\plik\minecraft do kopiowania\MinecraftZyczu — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\Apps.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\Continue *.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\McAfee Security Scan Plus.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\MiPony.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\Softonic*.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\Start BlueStacks.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\the sims 3\The Sims 3 + Patch 1.15.34 + Crack — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\char (2) — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\char — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\PolandCreeper — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\zombie (2) — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\zombie — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Angry Birds.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Garrys Mod.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Kurczaki Piraci.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Matematyka dla dzieci.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\UEFA EURO 2012.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Alex Gordon.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Euro Truck Simulator 2.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Feelers.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Goat Simulator.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Szkoła podstawowa klasa 4 - Tajemnice przyrody.lnk C:\Users\Igor Maj\Desktop\plik\tapeta\Apps.lnk C:\Users\Igor Maj\Desktop\plik\tapeta\Start BlueStacks.lnk C:\Users\Igor Maj\Desktop\plik\thumbs\Multimedia Fusion Developer 2 C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\Evrsoft First Page 2006.lnk C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\Google Earth.lnk C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\OpenFM.lnk C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\Nowy folder (2)\Maxthon Cloud Browser.lnk C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\AfaSystem (1)\AfaSystem *.lnk C:\Users\Igor Maj\Documents\Fax\Euro Truck Simulator 2\music\Baauer - harlem Snake — skrót.lnk C:\Users\Igor Maj\Documents\Euro Truck Simulator 2\music\Baauer - harlem Snake — skrót.lnk C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\YTAHelper C:\Users\Rodzice\Desktop\Nowy folder\Matematyka dla dzieci.lnk C:\Users\Rodzice\Desktop\Nowy folder\Tajemnicza Wyspa.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avant Browser.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w64.sys C:\Windows\System32\drivers\{03d08387-c95c-46e0-b2f8-4cd0ed929279}w64.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BlueStacks Agent" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v TornTvDownloader.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Cbox /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Softonic for Windows" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpeedUpMyComputer /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "TornTv Downloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v WinnerDM /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GOOBZOYouTubeAccelerator /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Ask Shopping Toolbar, Ask Toolbar, BitGuard, Bundled software uninstaller, Cbox, Delta Chrome Toolbar, DownLite, EZDownloader, FilesFrog Update Checker, iLivid, KMP Service, Lollipop, MaxiGet Software Manager, Minecraft Packages, SavePass 1.1, SN.Sustainer 1.80, Softonic for Windows, Software Version Updater, SupTab, Surftastic, sweet-page uninstaller, VO Package, WinZipper. - Stare wersje i zbędniki firmowe: Adobe Reader X (10.1.10) MUI, ASUS WebStorage Sync Agent, Bing Bar, Java 7 Update 67, Java 8 Update 5, Java™ 7 Update 3. Jeśli coś nie będzie widoczne lub nie będzie się chciało odinstalować, po prostu kontynuuj do dalszych obiektów. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Shared C Run-time for x64 (odpadek po McAfee) > Dalej 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: Ustawienia > Osoby > skasuj nieużywany profil zaprawiony adware. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt.

W raporcie nie ma oznak czynnej infekcji. Przedstaw gdzie konkretnie (ścieżki dostępu) są wykrywane obiekty Win32:Dropper-gen[Drp], Win32:Rootkit-gen[Rtk]. Jeśli chodzi o zwiększone użycie procesora, to problemem może być mnoga instalacja antywirusów, wg raportów działa równolegle Avast z MSSE, co jest zbyt dużym obciążeniem systemu. Na razie więc zadaję deinstalację zbędników i usuwanie wpisów pustych: 1. Przez Panel sterowania odinstaluj Microsoft Security Essentials. Proponuję też od razu odinstalować zbędniki firmowe: Asus WebStorage (wirtualny dysk internetowy) + ASUS Data Security Manager (szyfrator danych, o ile nie korzystałeś z niego do zaszyfrowania czegoś) + Bing Bar. Deinstalacja programów ASUS zmniejszy liczbę uruchomionych procesów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [Panda Malware Icon] -> {F5D1CF73-C196-48F8-AAAC-B9181E22B4E6} => C:\Program Files (x86)\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL No File ShellIconOverlayIdentifiers: [Panda Suspect Icon] -> {9AE343CB-BA45-4618-AF6A-0230EE6FC793} => C:\Program Files (x86)\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2865235807-1952630281-2589921185-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:newtab HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2865235807-1952630281-2589921185-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\.DEFAULT -> No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File Toolbar: HKU\.DEFAULT -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 Lavasoft Ad-Aware Service; "C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lavasoft Ad-Aware Service => ""="Service" C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero 8 C:\ProgramData\Temp C:\Users\Joanna\AppData\Local\Google\Chrome C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Joanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero Home Essentials SE.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart Essentials.lnk C:\Users\Joanna\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Start Default_Page_URL" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{FE12BF4C-022D-4C0C-AABA-4736ED26F310}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

ListParts Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Strona domowa Pobierz wersję dla systemów 32-bit: https://www.bleepingcomputer.com/download/listparts/dl/77/ Pobierz wersję dla systemów 64-bit: https://www.bleepingcomputer.com/download/listparts/dl/78/ Narzędzie skoncentrowane na konkretnej infekcji oraz operacji na MBR. Od lat nieaktualizowane. Nowoczesne systemy stosują układ partycji GPT. ListParts - Narzędzie dedykowane diagnostyce infekcji rootkit, które tworzą dodatkową ukrytą partycję. Udostępnia funkcję skanowania układu partycji oraz naprawy. Funkcje naprawcze to dane wewnętrzne i nie zostaną tu przedstawione. Pobór danych odbywa się w oparciu o konsolowe narzędzie diskpart wbudowane w Windows. ListParts jest zdolny uruchamiać się także w środowiskach zewnętrznych, np. w kombinacji z FRST, co ułatwia diagnostykę na kompletnie nie startujących Windows. INSTRUKCJA URUCHOMIENIA: 1. Pobrany plik uruchamiany przez dwuklik: Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Pojawi się małe okno z wyborem opcji. Dla Windows 8, Windows 7 i Vista figuruje dodatkowa opcja List BCD, domyślnie odznaczona, należy ją zanaczyć. 3. Uruchamiamy funkcję Scan. Po ukończeniu skanowania automatycznie otwiera się Notatnik z wynikami. W tym samym katalogu, z którego uruchamiano narzędzie ListParts, powstanie log tekstowy Result.txt.

Kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Google Update Helper został pomyślnie usunięty. Kończymy: 1. Skasuj z Pulpitu folder Stare dane programu Firefox. Następnie zastosuj DelFix: KLIK. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji (uzupełnienie SP3, IE8 i reszty łat): KLIK Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 (Default browser: FF)

Kolejne czynności, gdyż w pozostałych przeglądarkach też jest adware. 1. W COMODO Dragon i Operze odinstaluj rozszerzenie SmartSaver+ 3. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy raport z folderu C:\AdwCleaner. To nieistotny odczyt z kwarantanny FRST. Kwarantannę na końcu zawsze usuwam. To jest inny problem nie powiązany z powyższymi problemami infekcji adware. Wg obrazka (ikonki plików) pliki PDF są skojarzone z domyślną wbudowaną w Windows 8 przeglądarką PDF. Na liście zainstalowanych nie widać też żadnego zewnętrznego programu (Adobe Reader, Foxit Reader). Potem będę się zastanawiać o co chodzi i jak rozwiązać błąd. Pytaniem jest jednak co się działo w systemie tuż przed wystąpieniem błędu - czy były jakieś deinstalacje / określone akcje prowadzone?

Wręcz przeciwnie - zagląda. Wiem co mam nieskończone. Jest więcej tematów, które mam do zrobienia, nie tylko Twój. Priorytet mają tematy z czynną infekcją, tu została już dawno usunięta i sprawa jest zakończona. Dlatego odpowiedź odkładałam. Skasuj raport C:\Delfix.txt. Owszem, wcześniej w logu było to: ==================== Drivers (Whitelisted) ==================== S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Posiadasz DAEMON Tools Lite: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DAEMON Tools Lite.lnk -> C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\Uninstall.lnk -> C:\Program Files (x86)\DAEMON Tools Lite\uninst.exe (DT Soft Ltd.) On jednak powinien korzystać z innego sterownika a nie SPTD (lecz takowego tu nie było): R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [232512 2011-10-29] (DT Soft Ltd) Reinstalacja DAEMONa jako takiego jest niemożliwa (błąd "naruszenia integralności")?

Proszę o przesłanie oryginalnego pliku Data.reg. Nawiasem mówiąc w tym pliku są 3 linie (nie licząc nagłówka). Ja wiem co w nim jest, ale nie o to tu chodzi. To jest plik dla autora FRST pod kątem bugu wyświetlania wpisów w skanie FRST (pomieszanie ścieżek): HKU\S-1-5-21-2378617245-656913824-2786090956-1002\...\Run: [COLS] => C:\Program Files (x86)\Comarch\Comarch ERP Menad HKU\S-1-5-21-2378617245-656913824-2786090956-1002\...\Run: [YTDownloader] => er Kluczy\ComarchMLTray.exe Jeśli chodzi o AdwCleaner, to mowa o tym że wcześniej się nie uruchamiał, czy może próbowałeś go uruchomić ponownie już teraz?

Usuń folder FRST z Pulpitu. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj najnowszą wtyczkę Adobe Flash dla Firefox: KLIK.

1. Przez Panel sterowania odinstaluj adware Click Caption 1.10.0.5, omiga-plus uninstall oraz starą wersję Adobe Flash Player 15 ActiveX. Sugeruję też pozbyć się Hotspot Shield 3.42. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\mzl5xuun.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS Task: {A603E002-438D-4D5C-8ABC-B97081938D25} - System32\Tasks\{189DCC04-9A31-40C4-A868-DA1AE6B47940} => pcalua.exe -a C:\Users\user\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor S3 netr28ux; system32\DRIVERS\netr28ux.sys [X] C:\ProgramData\APN C:\ProgramData\WindowsMangerProtect C:\Users\user\AppData\Roaming\IHlpr C:\Users\user\AppData\Roaming\OpenCandy C:\Users\user\AppData\Roaming\WebTest Folder: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

DelFix jest tylko narzędziem do usuwania używanych narzędzi i logów (tu: FRST, OTL, USBFix). To nie jest program czyszczący "syf". Pozostałe akcje to: włączenie UAC (owszem tu jest wyłączone), stworzenie kopii rejestru (robił to na początku FRST, obecnie nie jest potrzebne), czyszczenie folderów Przywracania systemu (zadane z osobna do przeprowadzenia w opcjach Windows), reset ustawień systemu (tu zbędne). Skasuj raport C:\Delfix.txt z dysku. Koniec akcji.

Tematy łączę razem. W raportach nic nie ma nowego / szkodliwego. COMODO jest jak najbardziej podejrzany.

Tak jest. Na tym komputerze te same kroki końcowe co poprzednio, tzn. deinstalacja USBFix, zastosowanie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Czy notujesz w systemie jeszcze jakieś problemy? Wszystko zrobione. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: C:\Program Files\Common Files\System\SysMenu.dll C:\Program Files\Common Files\System\SysMenu64.dll C:\Users\ADMIN\AppData\Roaming\LIZ C:\Users\ADMIN\AppData\Roaming\WXITZAAW C:\Users\ADMIN\Downloads\DriversDownloader_for_Audio_Realtek_6.0.1.5648_Vistax64Vistax86XPx86XPx64_A.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\InstallMate RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Users\ADMIN\AppData\Local\ESET RemoveDirectory: C:\Users\ADMIN\AppData\LocalLow\Sun RemoveDirectory: C:\Users\ADMIN\AppData\LocalLow\Temp RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\FileAdvisor RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\Oracle RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\vxpiwcqi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Oba pendrive są zarażone. Akcja przy podpiętych urządzeniach: Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\DLLSuite C:\Program Files (x86)\DllTool C:\Users\Kamilo\AppData\Roaming\Solvusoft C:\Users\Kamilo\Downloads\Niepotwierdzony*.crdownload C:\Windows\system32\roboot64.exe L:\Chrome.VBE L:\*.LNK M:\Chrome.VBE M:\*.LNK CMD: attrib /d /s -s -h L:\* CMD: attrib /d /s -s -h M:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Zrób też nowy log USBFix z opcji Listing.

Detekcja AVG raczej z czapy. Podałeś mi niekompletny zestaw raportów FRST - log główny jest niekompletny (urwany w połowie), brakuje też plików Addition i Shortcut.

1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Reg: reg export HKU\S-1-5-21-2378617245-656913824-2786090956-1002\Software\Microsoft\Windows\CurrentVersion\Run C:\Users\Dorota\Desktop\Data.reg Reg: reg delete HKU\S-1-5-21-2378617245-656913824-2786090956-1002\Software\Microsoft\Windows\CurrentVersion\Run /v YTDownloader /f Reg: reg delete HKU\S-1-5-21-2378617245-656913824-2786090956-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\ProgramData\Interenet Optimizer\InterenetOptimizer_x64.dll [4302848 2014-12-22] () AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => c:\ProgramData\Interenet Optimizer\InterenetOptimizer.dll [4125696 2014-12-22] () R2 0c632643; c:\ProgramData\Interenet Optimizer\InterenetOptimizerSvc.dll [186192 2014-12-22] () [File not signed] S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT Task: {09F4B79F-843A-43EA-8D61-004CEDBDB659} - System32\Tasks\temp_bc3e5259-216b-45ab-922d-6380dea9f0d0 => C:\Program Files (x86)\SavePass 1.1\bc3e5259-216b-45ab-922d-6380dea9f0d0.exe Task: {1F7114AD-DAE0-4584-B5F8-A4CA8E2BC1CB} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe Task: {56EC836D-29C9-48F5-B7BC-D60C5219F104} - System32\Tasks\c4ee5b1a-1af4-417e-ba9b-d27e3d161669-5 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV04.12\c4ee5b1a-1af4-417e-ba9b-d27e3d161669-5.exe Task: {5705A719-EFEA-4186-8038-AE00E7B35CD3} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {5E9EEB7F-00B1-402A-B9E6-FB96E2F6ABC3} - System32\Tasks\temp_834b55ac-b156-431b-82d5-8cc6e64aff40-6 => C:\Program Files (x86)\Ge-Force\834b55ac-b156-431b-82d5-8cc6e64aff40-6.exe Task: {7FA04BC2-174C-49C8-90A3-1E7C91240E5B} - System32\Tasks\IEAS => C:\Users\Dorota\AppData\Roaming\IEAS.exe [2014-12-04] (HQ-VideoV04.12) Task: C:\Windows\Tasks\IEAS.job => C:\Users\Dorota\AppData\Roaming\IEAS.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank URLSearchHook: [s-1-5-80-3631717307-324266910-25194906-1518848185-2876795746] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2378617245-656913824-2786090956-1002 -> DefaultScope {750595C3-82FD-4414-8B2F-41EBE433C421} URL = SearchScopes: HKU\S-1-5-21-2378617245-656913824-2786090956-1002 -> {750595C3-82FD-4414-8B2F-41EBE433C421} URL = BHO: less2pAy -> {6438e6ff-c799-4607-af05-a8155e696e6e} -> C:\ProgramData\less2pAy\61cXaYIUS06V6A.x64.dll No File BHO-x32: less2pAy -> {6438e6ff-c799-4607-af05-a8155e696e6e} -> C:\ProgramData\less2pAy\61cXaYIUS06V6A.dll No File C:\Program Files (x86)\Google C:\Program Files (x86)\less2puaY C:\Program Files (x86)\sAverebaoux C:\ProgramData\600440862 C:\ProgramData\c82e9b7b5d464324 C:\ProgramData\dbdbgdmpclfpihhabnjkfipidhjldnik C:\ProgramData\sAverebaoux C:\ProgramData\Temp C:\Users\Dorota\AppData\Local\Google C:\Users\Dorota\AppData\Roaming\OpenCandy C:\Users\Dorota\Downloads\Niepotwierdzony*.crdownload C:\Users\Dorota\Downloads\yet_another_cleaner_*.exe Folder: C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Interenet Optimizer. 3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był uruchamiany). Poza tym, na Pulpicie powstał plik Data.reg - shostuj gdzieś i podaj do niego link. PS. Pamiętam o poprzednim temacie. Po prostu nie mam czasu się nim zająć.

1. Odinstaluj programy Adobe Flash Player 15 Plugin, DLL Suite 2013, DllTool 1.0, WinThruster. Takimi programami do "naprawy błędów DLL" można sobie tylko pogorszyć stan systemu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamilo\AppData\Local\Temp\Chrome.VBE" HKU\S-1-5-21-1256599488-1644380691-1454373047-1000\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamilo\AppData\Local\Temp\Chrome.VBE" Startup: C:\Users\Kamilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.VBE () BHO-x32: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No File S2 HPSLPSVC; C:\Users\Kamilo\Desktop\hppiw\hpslpsvc64.dll [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing przy popiętym pendrive. Dołącz też plik fixlog.txt.

Skoro odinstalowałaś KB3004394, to Przywracanie systemu było niepotrzebne. Podałam akcję z Przywracaniem, jeśli ta łata byłaby niewidoczna jako zainstalowana. W każdym razie problem uszkodzenia Usług kryptograficznych rozwiązany. Możemy zabrać się za usuwanie adware. Skoro było Przywracanie systemu, potrzebuję też pliki FRST Addition + Shortcut, gdyż poprzednie mają nieaktualne dane.

Multum instalacji adware. Próbując rozwiązać problem instalowałeś w międzyczasie wątpliwy program YAC (Yet Another Cleaner). Dodatkowo, zastanawia mnie ten drugi adres IP pobierany z routera - to OpenDNS. Czy takowy był ustawiany celowo? Tcpip\Parameters: [DhcpNameServer] 81.162.208.2 208.67.222.222 Działania wstępne pod kątem adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2015-01-06] (ShopperPro) S2 AddonsHelper; C:\Users\Niiesmiertelny\AppData\Local\Temp\OCS\Downloads\9f8cc62c3640bf6eb115b4c78bb22a3f\8a2438a7aa1e858526caff1f4deab159\AddonsHelper.exe [X] R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41856 2015-01-06] () R2 SPDRIVER_1463.0.0.0; C:\Program Files (x86)\ShopperPro\JSDriver\1463.0.0.0\jsdrv.sys [52584 2015-01-06] () S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1463.0.0.0\jsdrv.exe [3224576 2015-01-06] () HKU\S-1-5-21-2955672183-3658250396-1376213474-1001\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1463.0.0.0\jsdrv.exe [3224576 2015-01-06] () Task: {01226C22-118D-4991-82B8-88293021E608} - System32\Tasks\{54E296FB-613E-4618-B122-53F0764825C7} => pcalua.exe -a I:\Directx\dxsetup.exe -d I:\ Task: {1C15D103-49C6-4B1A-8A2A-AAE46BE2CB8A} - System32\Tasks\{05ACB4DD-3A09-4323-BA75-C25309A03039} => pcalua.exe -a H:\setup-top_netinfo.exe -d H:\ Task: {22783CC4-3E00-4B6D-91D9-B7A452209111} - System32\Tasks\{11C605A1-1E66-4337-AC84-02DD051600C0} => pcalua.exe -a "C:\Program Files (x86)\Mobile Partner\Driver\DriverSetup.exe" -d "C:\Program Files (x86)\Mobile Partner\Driver" Task: {2A0039D4-9DC9-4D6A-B170-2BD366B61A5A} - System32\Tasks\Installer_sense => C:\Users\Niiesmiertelny\AppData\Local\Installer\Installsense_7912\ins_postInst.exe [2015-01-08] () Task: {3815A207-5866-4C99-A3A8-8201D6239239} - System32\Tasks\{7062D436-B5D5-49D6-BFE9-24831605484E} => pcalua.exe -a C:\Users\Niiesmiertelny\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {442C58A0-A590-48AA-9BEF-D372A446C40A} - System32\Tasks\{0E437703-A890-4DF1-9FB5-FD6D9FB82329} => Firefox.exe http://ui.skype.com/ui/0/7.0.59.100/pl/abandoninstall?page=tsMain Task: {54BCFE45-2E7C-41CA-A603-A140C6B9FB1A} - System32\Tasks\{8995D2B1-DC7B-4543-BEF8-8AFD0586814D} => Firefox.exe http://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {5B147C41-A47A-4D66-8832-9612BD6F45C1} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe Task: {6E10A0A2-8E06-4E03-8198-5DEEB1D6BF1A} - System32\Tasks\{376FB0AB-6D50-49C1-ADCF-FB1452970C2F} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {753BFED2-9242-4213-B150-288A92E06516} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2015-01-06] (Goobzo) Task: {925718C6-0B5C-415D-8667-A44BCB01DE66} - System32\Tasks\{0027B74B-AEA6-4A3E-821C-A284620D0F12} => pcalua.exe -a C:\Users\Niiesmiertelny\Downloads\VGA_nVidia_WIN7_32_815118619\setup.exe -d C:\Users\Niiesmiertelny\Downloads\VGA_nVidia_WIN7_32_815118619 Task: {932D7CE4-C936-4937-B8C0-5D22DDFAF9B2} - System32\Tasks\{366E04DE-6923-46B0-A1BF-365621BE6D02} => pcalua.exe -a G:\InstellBluetooth.exe -d G:\ Task: {9C4CA337-254B-4FA0-84AD-5A2A707CAC5D} - System32\Tasks\SPBIW_UpdateTask_Time_313732363537393832392d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {C51A485C-2A49-4FB3-BB2C-697CDF4C7796} - System32\Tasks\Installer_iwebar => C:\Users\Niiesmiertelny\AppData\Local\Installer\Installiwebar_12661\ins_postInst.exe [2015-01-08] () Task: {CCC2C849-CE8F-4463-B3F8-E4957ABF7285} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2015-01-06] (Goobzo LTD) Task: {D090263A-23D6-4FA2-803C-561EC19A3C1C} - System32\Tasks\{BB30B820-0605-4C2A-BC2B-31692E3AA327} => pcalua.exe -a "H:\need for speed most wanted\NFSMW\eauninstall.exe" -d "H:\need for speed most wanted\NFSMW" Task: {EB983D28-8B18-492B-9278-E871994F6FAC} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1463.0.0.0\jsdrv.exe [2015-01-06] () Task: {F16D1B45-0916-4E9D-B3C8-AB1AC3D895C4} - System32\Tasks\{AAC21D45-3A43-4F18-908D-7FCA635EDA6B} => pcalua.exe -a C:\Users\Niiesmiertelny\Downloads\BluetoothDriverInstaller.exe -d C:\Users\Niiesmiertelny\Downloads HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417797528&from=cor&uid=3219913727_67194_FC9C0241&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417797528&from=cor&uid=3219913727_67194_FC9C0241&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417797528&from=cor&uid=3219913727_67194_FC9C0241&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417797528&from=cor&uid=3219913727_67194_FC9C0241&q={searchTerms} SearchScopes: HKLM-x32 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms} SearchScopes: HKU\S-1-5-21-2955672183-3658250396-1376213474-1001 -> DefaultScope {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms} SearchScopes: HKU\S-1-5-21-2955672183-3658250396-1376213474-1001 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms} BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO-x32: No Name -> {9B6B03F1-16CF-4491-BBBB-E872802DD717} -> No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF HKLM-x32\...\Firefox\Extensions: [dnshelp@dnshelp.com] - C:\Users\Niiesmiertelny\AppData\Roaming\Helper C:\Program Files (x86)\MiPony C:\ProgramData\DNSErrorHelper C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype Password C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Techland C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winmail Opener C:\Users\Niiesmiertelny\AppData\Local\Installer C:\Users\Niiesmiertelny\AppData\Roaming\*.exe C:\Users\Niiesmiertelny\AppData\Roaming\DigitalSite C:\Users\Niiesmiertelny\AppData\Roaming\Gameo C:\Users\Niiesmiertelny\AppData\Roaming\GoforFiles C:\Users\Niiesmiertelny\AppData\Roaming\GoldenGate C:\Users\Niiesmiertelny\AppData\Roaming\Helper C:\Users\Niiesmiertelny\AppData\Roaming\Mipony C:\Users\Niiesmiertelny\AppData\Roaming\NCdownloader C:\Users\Niiesmiertelny\AppData\Roaming\NetMeter C:\Users\Niiesmiertelny\AppData\Roaming\OpenCandy C:\Users\Niiesmiertelny\AppData\Roaming\Opera Software C:\Users\Niiesmiertelny\AppData\Roaming\SmartBluetoothMarketing C:\Users\Niiesmiertelny\AppData\Roaming\WebTest C:\Users\Niiesmiertelny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\Niiesmiertelny\Downloads\yet_another_cleaner_sk_15627.exe C:\Users\Niiesmiertelny\Downloads\Real_Alternative_202_Lite.exe C:\Users\Public\Documents\ShopperPro C:\Windows\system32\log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\Users\Niiesmiertelny\AppData\Local CMD: dir /a C:\Users\Niiesmiertelny\AppData\LocalLow Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Shopper-Pro i stare wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 51 (64-bit), Java 7 Update 60 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock-Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba) Farbar Service Scanner (FSS) Platforma: Windows 7 do Windows 11 32-bit i 64-bit Strona domowa Pobierz Farbar Service Scanner (FSS) - Narzędzie pomocnicze umożliwiające wytypowanie usterki po ingerencji malware, diagnozujące podstawowe usługi Windows związane z operacjami sieciowymi oraz wbudowanymi zabezpieczeniami systemu. Narzędzie prowadzi skan pod kątem funkcji: Centrum zabezpieczeń / Centrum akcji, Przywracanie systemu, Windows Defender, Windows Update, Zapora systemu Windows, Usługi sieciowe. Automatyczny skan jest podstawowy, weryfikuje tylko określone aspekty usług, nie jest pokazywany pełny eksport danego klucza ani uprawnienia. Diagnostyka detaliczna musi się odbyć już innymi metodami. FSS oferuje także skanowanie na życzenie w poszukiwaniu kopii brakujących plików lub eksport określonej usługi z rejestru. Te działania leżą już w gestii moderatora prowadzącego temat. INSTRUKCJA URUCHOMIENIA: 1. Pobrany plik uruchamiany przez dwuklik: Wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Otworzy się główny interfejs. Domyślnie są zaznaczone wszystkie pozycje i tak należy zostawić: 3. Uruchamiamy opcję Scan. Po ukończeniu skanowania automatycznie otwiera się Notatnik z wynikami. W tym samym katalogu, z którego uruchamiano narzędzie FSS, powstanie log tekstowy FSS.txt.