picasso

Działania do przeprowadzenia: 1. Odinstaluj zestaw QuickTime: Apple Software, Obsługa programów Apple, QuickTime. To nie jest bezpieczny program, krytyczne luki które już nie zostaną załatane, wycofano wsparcie dla Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3843859349-2735535353-3873921887-1000\Software\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1415307971&from=cor&uid=TOSHIBAXDT01ACA100_24H2AG1FSXX24H2AG1FSX HKU\S-1-5-21-3843859349-2735535353-3873921887-1000\...\Run: [AdobeBridge] => [X] R1 {9015bae7-cdbb-4473-a5d0-ecfa559b2ca5}Gw; C:\Windows\System32\drivers\{9015bae7-cdbb-4473-a5d0-ecfa559b2ca5}Gw.sys [43152 2014-11-06] (StdLib) R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [163328 2016-10-09] () [brak podpisu cyfrowego] S3 CsrBtPort; system32\DRIVERS\CsrBtPort.sys [X] S3 csrusb; System32\Drivers\csrusb.sys [X] S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] S2 mi-raysat_3dsmax9_32; "C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe" [X] S3 MSICDSetup; \??\E:\CDriver.sys [X] S3 NTIOLib_1_0_3; \??\C:\Program Files\MSI\Super-Charger\NTIOLib.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib.sys [X] Task: {174C7ABF-B6A7-4F78-AA69-14BBC16B0A77} - System32\Tasks\{E86A76D6-C1DC-454C-A71E-D427AAFDCE28} => pcalua.exe -a "E:\SkypeMate 3.0.11.24.exe" -d E:\ Task: {21C53081-4B40-4956-AA25-54373DFB35E0} - System32\Tasks\{8955FA89-36D4-4ABF-B7C1-32C14C7A425A} => pcalua.exe -a "E:\Programy\Gierki\Deluxe Ski Jump 3\Setup.exe" -d "E:\Programy\Gierki\Deluxe Ski Jump 3" Task: {519F9747-65E5-49ED-9C27-E2C268B7FF66} - System32\Tasks\{67F7AB6F-AF2A-4C46-B6C0-2FCAB9C25560} => pcalua.exe -a "E:\Programy\Gierki\Deluxe Ski Jump 3 1.5\250 skoczków + reprezentacje.exe" -d "E:\Programy\Gierki\Deluxe Ski Jump 3 1.5" Task: {D0C2577D-B2C7-40DA-A804-0EBAB52DE06A} - System32\Tasks\{93313969-D34C-43A3-8DC6-0528FA93C5AA} => pcalua.exe -a "G:\Torrent download\Cool Edit Pro 2.1\Crack\cep2reg.exe" -d "G:\Torrent download\Cool Edit Pro 2.1\Crack" Task: {F31C97FE-7F01-40B6-A7D6-FD5A677CA02B} - System32\Tasks\{EBA53826-6678-42E8-A3FB-6C5A6F5FBCD0} => pcalua.exe -a "G:\Torrent download\Cool Edit Pro 2.1\cepsetup.exe" -d "G:\Torrent download\Cool Edit Pro 2.1" DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\ProgramData\corss C:\ProgramData\TEMP C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkypeMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Composite 2012\Documentation\Online Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Composite 2012\Documentation\Scripting API.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC PowerPack\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC PowerPack\TC PowerPack On-line.lnk C:\Windows\System32\drivers\{9015bae7-cdbb-4473-a5d0-ecfa559b2ca5}Gw.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD FF Homepage: Mozilla\Firefox\Profiles\nvk4ix4a.default-1415992105369 -> hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1475226132&z=ca75e80aea6fa3b3ded11d5g7z5m9w3o3odqdgaobt&from=uvc0929&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKU\S-1-5-21-808355122-3858119131-277923980-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKU\S-1-5-21-808355122-3858119131-277923980-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKU\S-1-5-21-808355122-3858119131-277923980-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKU\S-1-5-21-808355122-3858119131-277923980-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-808355122-3858119131-277923980-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} SearchScopes: HKU\S-1-5-21-808355122-3858119131-277923980-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} BHO: Spyware Terminator 2015 Internet Guard -> {82A76710-4F98-4957-92BE-99648A4E2475} -> C:\PROGRA~2\SPYWAR~1\STINTE~2.DLL => Brak pliku BHO-x32: Spyware Terminator 2015 Internet Guard -> {82A76710-4F98-4957-92BE-99648A4E2475} -> C:\PROGRA~2\SPYWAR~1\STINTE~1.DLL => Brak pliku BHO-x32: Brak nazwy -> {E6E66045-E911-4C01-961D-42487CE12089} -> C:\Users\Natalcia\AppData\LocalLow\Browser-Security\safe_url.dll [2016-06-20] () FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] Tcpip\..\Interfaces\{47632F91-BA34-47AB-BD3E-EE98969D39DB}: [DhcpNameServer] 188.42.227.51 148.251.96.99 BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bitsdnclean64.exe R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [280576 2016-09-01] () [brak podpisu cyfrowego] R2 IlS; C:\ProgramData\Tencent\QQ\report\repor.dll [394752 2016-10-10] () [brak podpisu cyfrowego] R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [163328 2016-10-09] () [brak podpisu cyfrowego] S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [47632 2013-04-29] (Panda Security, S.L.) S2 EvercineDL; "C:\ProgramData\corss\_@aduck00000000.tmp.dat.exe" [X] S2 sp_rsdrv2; system32\DRIVERS\stflt.sys [X] S2 ST2012_Svc; "C:\Program Files (x86)\Spyware Terminator\st_rsser64.exe" [X] MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BackupRemind.lnk => C:\Windows\pss\BackupRemind.lnk.CommonStartup MSCONFIG\startupreg: DAEMON Tools Lite => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun MSCONFIG\startupreg: RandMAC => C:\Users\Natalcia\AppData\Local\Temp\7zO9B5.tmp\MadMACs.exe doittoit MSCONFIG\startupreg: SpybotPostWindows10UpgradeReInstall => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe" MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" Task: {064A5ED9-9C1A-4991-B6BD-A469A7501B6E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {074F4F4A-AE50-4C54-BC93-203A47AD9B2A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {170E8675-E21B-44DD-827C-7F7E8FB94AC8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {1D3674EE-AF5F-4773-9132-A1B8AD9B1880} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3777C297-CC64-4B41-9FFE-E6A1A6E9701B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {595EFDB6-6565-4C77-B9B4-32613C874569} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {75BB0215-37AC-4ACC-8658-4276D088826A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {879AA5CD-E15A-442D-BED4-C19AF3B97BE3} - System32\Tasks\0915tbUpdateInfo => C:\ProgramData\Avg_Update_0915tb\0915tb_{F2CA3928-42EC-481C-8520-B9C1177561C3}.exe Task: {936124EC-50D5-4038-84C9-8EA9786F895D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A1A36B1D-AC68-4A03-B545-9768B4D496CF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {CEAE71BC-EAD1-4678-8434-AB356E34912B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {D04E4D35-3E1E-478B-A9B8-06415F82780E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D6331221-D4F5-439F-BDBB-511D47D9C00C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {F319C730-85F6-4C62-816D-5B186C6DDFEB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: C:\Windows\Tasks\0915tbUpdateInfo.job => C:\ProgramData\Avg_Update_0915tb\0915tb_{F2CA3928-42EC-481C-8520-B9C1177561C3}.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DisableService: Internet Mobilny. RunOuc AlternateDataStreams: C:\Users\Natalcia\ntuser.dat.log:{50CF2635-73DA-3D80-BE94-033263F847F8} [48] C:\Program Files\ByteFence C:\Program Files (x86)\Evercine C:\Program Files (x86)\Legness C:\Program Files (x86)\Java C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Common Files\Apps C:\ProgramData\corss C:\ProgramData\Tencent C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DOSBox-0.74 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\magritte C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MP3Gain C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OSDownloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Three Weeks in Paradise Final C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Sound Recorder\Free Sound Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Polish Empire Mod\Play Polish Empire Mod.lnk C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Users\Natalcia\AppData\Local\Evercine C:\Users\Natalcia\AppData\Local\Legness C:\Users\Natalcia\AppData\LocalLow\Browser-Security C:\Users\Natalcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Free Sound Recorder.lnk C:\Users\Natalcia\AppData\Roaming\Microsoft\Windows\Start Menu\Free Sound Recorder.lnk C:\Users\Natalcia\AppData\Roaming\Mozilla\Firefox\Profiles\nvk4ix4a.default-1415992105369\searchplugins C:\Users\Natalcia\Downloads\Niepotwierdzony 988232.crdownload C:\Users\Public\Desktop\B1 Free Archiver.lnk C:\Users\Public\Desktop\OSDownloader.lnk C:\Users\Public\Documents\temp.dat C:\Windows\System32\Drivers\PSKMAD.sys C:\Windows\system32\log C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

O jakim serwisie mowa i czy już zmieniłeś hasła? W raportach nie ma żadnych oznak infekcji, do usunięcia byłyby tylko drobne puste wpisy (co nie ma znaczenia). Aczkolwiek w systemie są dwa konta, a logi zostały zrobione tylko z kota Praca: Uruchomiony przez Praca (administrator) DESKTOP-0NHQGI0 (12-10-2016 11:26:23) ==================== Konta użytkowników: ============================= Dan (S-1-5-21-3823393342-1030952088-1191992016-1002 - Administrator - Enabled) => C:\Users\Dan Praca (S-1-5-21-3823393342-1030952088-1191992016-1005 - Administrator - Enabled) => C:\Users\Praca Na wszelki wypadek zrób też raporty FRST.txt + Addition.txt) z poziomu konta Dan.

1. Jeśli chodzi o czyszczenie systemu ze śmieci, to skończyliśmy. Przez SHIFT+DEL (omija Kosz) skasuj skanery i ich logi z folderu E:\Programy instalacyjne\Antywirusy. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK. 2. W kwestii wpisów nVidia: gdyby sprawdzenie wskazanych nie przyniosło rezultatów, szukaj w msconfig w karcie Usługi innych usług nVidia kierujących na ścieżkę C:\Program Files\NVIDIA Corporation. FRST ma bardzo silne filtrowanie i niektóre usługi nVidia nie są widoczne na domyślnych ustawieniach skanu.

Jeśli chodzi o PW (komputer musi być oddany) relatywne do mojej części pracy (raporty FRST i stan systemu), to zaznaczałam, że w pierwszej kolejności należy zająć się innym problemem (od tego Groszexxx). W kontekście zgłoszonych problemów i przy śladzie uszkodzenia plików (w raporcie widać jeden, wyłapanie reszty nie do ustalenia metodą raportów które są mocno ograniczone) jakieś "skrypty do FRST" to bardzo wątpliwe działanie. 1. Przy udziale Szukaj plików w FRST wyszukaj wszystkie kopie findstr.exe i podaj log wynikowy. 2. W spoilerze zaś ów skrypt "kosmetyczny" do FRST usuwający odpadki, do którego zmierzasz. Ja uważam jednak, że nie tym tu się powinno zajmować.

Temat przenoszę do działu Windows, to nie problem infekcji. Wyniki AdwCleaner bez znaczenia w kontekście sprawy: obiekty Revealer Keylogger (przypuszczalnie był instalowany ręcznie, poza tym przed użyciem AdwCleaner i tak był wyłączony via Menedżer zadań), strony startowe po pasku AVG pozostawione w Chrome (i nadal są widoczne) oraz jakieś drobne klucze w rejestrze. Tylko poboczne działania, czyli usunięcie odpadkowych wpisów oraz Tempów: Być może to ilość i wybór programów zabezpieczających ma wpływ. Obecnie chodzi Avast, Zemana, MBAE, MCShield.... Druga sprawa, w Dzienniku zdarzeń błędy aktywacji systemu - czy edycja "Enterprise" została w legalny sposób aktywowana? Dziennik Aplikacja: ================== Error: (10/13/2016 07:16:51 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0xC004F074 Argumenty wiersza polecenia: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=81671aaf-79d1-4eb1-b004-8cbbe173afea;NotificationInterval=1440;Trigger=NetworkAvailable Do diagnostyki miejsca na dysku skorzystaj z SpaceSniffer. Program z prawokliku "Uruchom jako administrator", by obliczył też zablokowane obszary typu System Volume Information od Przywracania systemu.

Zakładam, że punkty 1+2 wykonałeś. Skrypt FRST zrobił co należy. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST, C:\MATS oraz pobrany FRST i jego logi z folderu E:\pobieranie. To wszystko.

Linki adware konwertuję na nieaktywne. Nie odpowiedziałeś na pytanie w której przeglądarce. Jeśli tylko w Google Chrome, to odinstaluj podane rozszerzenie Light ToDo, przeładuj Chrome i podaj czy są zmiany.

Mam pytanie: czy ten plik Fixlog to jest oryginalny plik załadowany wprost z dysku (a nie zapisywany od nowa ręcznie, przeklejana zawartość, etc.)? Problemem jest, że plik Fixlog ma złe kodowanie ANSI i zepsute polskie czcionki.... Jeśli chodzi o zadania, to pomyślnie wykonane, ale elementy "Tor" znów pojawiły się na dysku.... Poprawki: 1. W Google Chrome pojawił się nowy wpis adware, prawdopodobnie załadowany via synchronizacja z serwerem Google. - Zresetuj synchronizację (o ile włączona): KLIK. - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres search.babylon.com, przestaw na "Otwórz stronę nowej karty" 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\LOCKERZ\AppData\Local\Akamai\netsession_win.exe" GroupPolicy\User: Ograniczenia FF Plugin-x32: @pages.tvunetworks.com/WebPlayer -> D:\Program Files (x86)\TVUPlayer\npTVUAx.dll [brak pliku] FF Plugin HKU\S-1-5-21-3693199113-3486577660-3927935120-1000: @acestream.net/acestreamplugin,version=2.2.2-next -> C:\Users\LOCKERZ\AppData\Roaming\ACEStream\player\npace_plugin.dll [brak pliku] C:\Users\LOCKERZ\AppData\Local\Akamai C:\Users\LOCKERZ\AppData\Roaming\.ACEStream C:\Users\LOCKERZ\AppData\Roaming\ACEStream C:\Users\LOCKERZ\AppData\Roaming\Massive Media C:\Users\LOCKERZ\AppData\Roaming\tor.exe C:\Users\LOCKERZ\AppData\Roaming\tor CMD: type C:\Windows\System32\Tasks\{EC495FB6-A04D-8085-07E5-4A678EBE46D6} Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Na wszelki wypadek jeszcze szukanie w rejestrze. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. tor.exe

Zastosuj DelFix, by usunąć używane narzędzia. Temat rozwiązany. Zamykam.

Wszystko zrobione. Zastosuj DelFix, a pobrany GMER dokasuj ręcznie. To wszystko.

Idziemy dalej: 1. Pojawiła się nowa infekcja DNS (modyfikacja plików dnsapi.dll). Uruchom RepairDNS i zresetuj system po jego użyciu. Na Pulpicie powstanie plik RepairDNS.txt. 2. W Google Chrome są nadal wpisy adware: CHR HomePage: Profile 2 -> hxxp://www.mystartsearch.com/?type=sy&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412 CHR StartupUrls: Profile 2 -> "hxxp://www.mystartsearch.com/?type=hp&ts=1434641622&z=f67b43f16ba5c60eafc3566g5zdc8zbq8zageqco4q&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412","hxxp://www.mystartsearch.com/?type=hppp&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412" Czy na pewno resetowałeś przeglądarkę wg podanych kroków? Powtórz zadanie. 3. Otwórz Notatnik i wklej w nim: C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Windows\system32\mic StartBatch: del /q C:\Windows\Minidump\*.dmp ipconfig /flushdns netsh advfirewall reset EndBatch: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

W raportach brak jakichkolwiek jawnych oznak infekcji. Opisz jakie reklamy (przykładowe adresy), na jakich stronach, w której przeglądarce (a może wszystkich). Jeśli efekt byłby tylko w Google Chrome, to podejrzenie może budzić to świeżo doinstalowane rozszerzenie (brak jakichkolwiek informacji o ID): CHR Extension: (Light ToDo) - C:\Users\Drabik\AppData\Local\Google\Chrome\User Data\Default\Extensions\impkckfbdbpbhpmcheeinadkjpgpjfko [2016-09-09]

"Tor" wraca, gdyż w starcie uruchamia się infekcja: HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [{EC495FB6-A04D-8085-07E5-4A678EBE46D6}] => C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}\ybfpnrmcj.exe [104961536 2016-10-07] (smile) Poza tym do wyrzucenia szczątki adware PriceFountain z harmonogramu oraz różne inne odpadkowe wpisy po odinstalowanych programach. Działania do przeprowadzenia: 1. Odinstaluj: Ace Stream Media 3.1.2 (wbudowany moduł adware preaktywowany po pewnym czasie), Adobe Shockwave Player 12.0 (stara wersja), Akamai NetSession Interface (zbędny downloader), Obsługa programów Apple (brak innych aplikacji Apple), Perfect Uninstaller v6.3.4.0 (program wątpliwej reputacji), Twoo 2.1.1011 (serwis Twoo powiązany z podejrzanymi spamerskimi działaniami i zastrzeżenia w kwestii prywatności), TVUPlayer 2.5.3.1 (już od dawna nie działa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [{EC495FB6-A04D-8085-07E5-4A678EBE46D6}] => C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}\ybfpnrmcj.exe [104961536 2016-10-07] (smile) HKLM-x32\...\Run: [RazerCortex] => D:\Program Files (x86)\Razer\Razer Cortex\CortexLauncher.exe -autorun Task: {066DBDD0-FBF7-446F-A7E6-5D509526FDAF} - System32\Tasks\{3279D542-38F4-4847-AC03-3BB537790B7B} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\speed2\397-ST330_VistaSetup_v0.3.exe" -d "D:\Instalki-Programy\Windows 7\speed2" Task: {27152390-D38F-46A9-97D8-EC0E9A39EB61} - System32\Tasks\{24F2297C-2894-486C-A790-6A0AA6F2BE01} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\SpeedTouch330seriesR4.0.0.5.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista" Task: {32193D3A-0DC6-44BD-BFDF-D925DF19FABA} - System32\Tasks\LOCKERZStretchedBilingualV2 => Rundll32.exe UptownsInseminates.dll,main 7 1 Task: {4195BFC7-8627-4AF5-85A8-5701B873655E} - System32\Tasks\{5C881262-692A-4E88-8AF8-D080E851ABBE} => C:\Users\LOCKERZ\Desktop\397-ST330_VistaSetup_v0.3.exe Task: {441A14BA-FBF5-4CE5-BCC4-5368FD3F5940} - System32\Tasks\{34A4218F-4663-4FE0-B8AA-DD658EDDB57D} => pcalua.exe -a C:\Users\LOCKERZ\Desktop\397-ST330_VistaSetup_v0.3.exe -d C:\Users\LOCKERZ\Desktop Task: {467F50B2-AA8B-481C-B013-44CCEBA6D446} - System32\Tasks\{942153CC-7A1B-4E64-A8A5-CEDB48BC897C} => pcalua.exe -a "C:\Program Files (x86)\thriXXX\WebLaunch\WebLaunchUninstall.exe" Task: {482AEC6E-2529-45C6-AEA6-31052E006744} - System32\Tasks\{D326FE30-5CD6-4ECC-87CE-2CF39B4FE512} => pcalua.exe -a "C:\Program Files (x86)\Thomson\ST330\Uninstall\stInstall.exe" -c -s:scen_uninstall_st330.xml -l:pl Task: {49A5C001-1F4D-41A4-A539-7D7F83B81A8C} - System32\Tasks\{A6364742-CDCA-4273-B26C-57360FED63C6} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista\setup.exe" -d "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista" Task: {4BEB87C5-BA79-49F2-A6C2-73275F3409D1} - System32\Tasks\{F34654C4-F88D-45F0-99CF-3ED3A627DC6D} => pcalua.exe -a D:\Instalki-Programy\Flash_Disinfector.exe -d D:\Instalki-Programy Task: {7AD8332A-A691-4913-9AB7-281FAA71B68C} - System32\Tasks\{0CFBF47D-25FB-4E8D-B0E1-7119156A7FA3} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIW\stInstall.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIW" Task: {95758718-FB55-407B-9EEE-1DC071DB6CC9} - System32\Tasks\{61249075-9D71-4723-8625-4CC38CC34961} => pcalua.exe -a C:\PROGRA~2\NEOSTR~1\INSTAL~1.EXE -d C:\PROGRA~2\NEOSTR~1 -c ListeModeAcces=ADSLUSB,DriverADSLUSB=THOMSSPEEDTOUCHUSB Task: {981B3721-744A-40B5-977C-7DFE6D5ED107} - System32\Tasks\{696BD7AC-4436-4D9F-80BD-FE073DFE54E4} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIWv\stInstall.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIWv" Task: {C43C5C1E-E163-4108-954E-5CED3B16D112} - System32\Tasks\SLOW-PCfighter64-LOCKERZ-Startup => D:\Program Files\Fighters\SLOW-PCfighter\SLOW-PCfighter64.exe Task: {CB6D32AA-8747-485E-996F-789893C55613} - System32\Tasks\{AF66950C-7A39-4218-8D45-1B11631787AB} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\setup.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista" Task: {D362EE8E-3919-44EC-AAF9-B1254D1E8D84} - System32\Tasks\{11AD3EB2-749C-90B4-77B0-5988AF507931} => C:\Users\LOCKERZ\AppData\Roaming\PRICEF~1\updater.exe Task: {DB901E45-A4E9-4524-8675-3A31ECEE1874} - System32\Tasks\{CB5C5B72-9DBF-4F63-AB34-EEEA0A2AEABF} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista\397-ST330_VistaSetup_v0.3.exe" -d "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista" Task: C:\Windows\Tasks\{11AD3EB2-749C-90B4-77B0-5988AF507931}.job => C:\Users\LOCKERZ\AppData\Roaming\PRICEF~1\updater.exe Task: C:\Windows\Tasks\{34969D2D-6A6A-4308-8901-FD7B1BD3E859}.job => c:\program files (x86)\google\chrome\application\chrome.exeKhxxp:/ui.skype.com/ui/0/6.6.0.106/pl/go/ MSCONFIG\Services: CacheBoost Service => 2 MSCONFIG\Services: Enlightened Shoal => 2 MSCONFIG\Services: OverwolfUpdaterService => 3 MSCONFIG\Services: Update FindRight => 2 MSCONFIG\Services: Util FindRight => 2 MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^O&O Defrag Tray.lnk => C:\Windows\pss\O&O Defrag Tray.lnk.CommonStartup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1.bat => C:\Windows\pss\1.bat.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk => C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Rejestracja FIFA 10.lnk => C:\Windows\pss\Rejestracja FIFA 10.lnk.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Start Freenet.lnk => C:\Windows\pss\Start Freenet.lnk.Startup MSCONFIG\startupreg: AceStream => C:\Users\LOCKERZ\AppData\Roaming\ACEStream\engine\ace_engine.exe MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" MSCONFIG\startupreg: CacheBoost => C:\Program Files (x86)\Systweak\Systweak CacheBoost\trayicon.exe MSCONFIG\startupreg: GmailNotifierPro => C:\Users\LOCKERZ\Desktop\GmailNotifierPro\GmailNotifierPro.exe /minimized MSCONFIG\startupreg: IObit Malware Fighter => "D:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe" /autostart MSCONFIG\startupreg: KiesAirMessage => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup MSCONFIG\startupreg: KiesPDLR => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe MSCONFIG\startupreg: KiesPreload => D:\Program Files\Kies\Kies.exe /preload MSCONFIG\startupreg: KiesTrayAgent => D:\Program Files\Kies\KiesTrayAgent.exe MSCONFIG\startupreg: MyBrowserCash => C:\Program Files (x86)\MyBrowserCash\MyBrowserCash.exe MSCONFIG\startupreg: OODefragTray => D:\Program Files\OO Software\Defrag\oodtray.exe MSCONFIG\startupreg: Overwolf => C:\Program Files (x86)\Overwolf\Overwolf.exe -silent MSCONFIG\startupreg: Pokki => "C:\Users\LOCKERZ\AppData\Local\Pokki\v0.260.6.332\pokki.exe" MSCONFIG\startupreg: PPS Accelerator => D:\PPS.tv\PPStream\PPSKernel.exe MSCONFIG\startupreg: PPSDynamicDesktop => C:\Program Files (x86)\PPSGame\PPSDynamicDesktop.exe MSCONFIG\startupreg: SpybotSD TeaTimer => D:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe MSCONFIG\startupreg: Twoo => "C:\Users\LOCKERZ\AppData\Roaming\Massive Media\Twoo.exe" MSCONFIG\startupreg: Waiting1690 => C:\Windows\stid1690.exe S3 4F97E7A5DF399D88; \??\C:\Users\LOCKERZ\AppData\Local\Temp\73CEB197.sys [X] S3 ALSysIO; \??\C:\Users\LOCKERZ\AppData\Local\Temp\ALSysIO64.sys [X] S3 ATICDSDr; \??\C:\Users\LOCKERZ\AppData\Local\Temp\ATICDSDr.sys [X] S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] S3 zghsser; system32\DRIVERS\zghsser.sys [X] D:\Program Files (x86)\uusee C:\Program Files (x86)\VMware C:\ProgramData\TEMP C:\ProgramData\VMware C:\ProgramData\Microsoft\Windows\GameExplorer\{20D6AB38-04B5-48E5-BD4B-5809C4B4F0E2} C:\Users\ADMIN\Desktop\SWAT 4.lnk C:\Users\ADMIN\Desktop\Watchtower Library 2007 - wydanie polskie.lnk C:\Users\LOCKERZ\AppData\Local\Microsoft\Windows\GameExplorer\{9593D187-5C4D-4C35-A365-F4DDFC6E2096} C:\Users\LOCKERZ\AppData\Local\Microsoft\Windows\GameExplorer\{0CDF294F-BF7C-48EC-AD72-56AD2D1513D1} C:\Users\LOCKERZ\AppData\Local\StretchedBilingual C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5} C:\Users\LOCKERZ\AppData\Roaming\tor C:\Users\LOCKERZ\AppData\Roaming\VMware C:\Users\LOCKERZ\Favorites\ÓĆĘÓÓÎĎ·ÖĐĐÄ.lnk C:\Users\LOCKERZ\Favorites\şÜżěĘÓƵËŃË÷.lnk C:\Users\mama\Desktop\SWAT 4.lnk C:\Users\mama\Desktop\Watchtower Library 2007 - wydanie polskie.lnk C:\Users\mama\Desktop\Watchtower Library 2009 - wydanie polskie.lnk C:\Users\mama\Desktop\Watchtower Library 2012 - wydanie polskie.lnk FF Plugin-x32: @pps.tv/npWebPlayer -> D:\PPS.tv\PPStream\npWebPlayer.dll [brak pliku] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\LOCKERZ\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx CHR HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [egnimkioipookhfihpljiedpgjffibpa] - C:\Program Files (x86)\MyBrowserCash\MBC_chrome.crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: HKLM-x32 {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} DPF: HKLM-x32 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset CMD: type C:\Windows\system32\GroupPolicy\User\Registry.pol EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poboczne działania w przeglądarkach: Firefox: Odinstaluj stare niepodpisane cyfrowo rozszerzenia i te już nie działające poprawnie Adblock Lite, FlyOrDie Quick Java Installer, Low Quality Flash, Real Hide IP, SmartVideo For YouTube oraz wątpliwej reputacji Twoo Notifications. Google Chrome: Odinstaluj Ace Stream Web Extension, o ile samodzielnie nie zniknie po głównej deinstalacji. AdBlock i Adblock Plus to w zasadzie już to samo i po co duplikować. Zamiast obu polecam uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Przyczyną nie jest infekcja, a to co wykrył AdwCleaner ma zerowe znaczenie (odpadkowy klucz w rejestrze, nieaktywny i nie wpływający na nic). Natomiast w Firefox odinstaluj rozszerzenie Video AdBlock, to jest adware a nie bloker reklam. Adware w Firefox również nie ma żadnego związku z problemem. A z logów dla mnie nic nie wynika. Jedyne co widać, to te błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (10/12/2016 09:34:03 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Origin Web Helper Service z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (10/12/2016 09:34:03 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Origin Web Helper Service. Error: (10/12/2016 09:33:32 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 21:32:36 na ‎2016-‎10-‎12 było nieoczekiwane. Error: (10/12/2016 09:31:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (10/12/2016 09:31:43 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. - Jeśli chodzi o zawieszenie usługi Origin, to nie przychodzi mi nic innego do głowy, niż sprawdzić najbardziej inwazyjne instalacje. Tu Avast Internet Security, ewentualnie też AVG PC TuneUp. - Jeśli chodzi Usługę buforowania czcionek i o ile to nie był błąd jednorazowy, to do wykonania te instrukcje: KLIK. Aczkolwiek nie wykluczam tu wcale Avast.

1. Nie odinstalowałeś Adobe Reader 9, programów od Apple i zbędnego HP Customer Participation Program 14.0. To nadal do wykonania. Wersje Adobe i Apple to są niebezpieczne wersje z lukami, zagrożenie infekcjami, w tym szyfrującymi dane. Najnowszy Adobe Reader w przyklejonym: KLIK. Dla QuickTime nie ma wyjścia, Apple usunęło wsparcie dla Windows i pobieranie. Dodatkowo uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy wpis Acrobat.com. 2. W Google Chrome odinstaluj sponsorowane rozszerzenie Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2014.SP2a\WNt500x64\Sandra.sys [X] S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X] HKU\S-1-5-21-3258439222-2101547467-1170819926-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\KMSnano RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Skrypt wykonany. Używałeś wcześniej już AdwCleaner i Hitman, więc nie zadaję ich ponownie. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pobranych FRST, GMER i ich logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Zainstaluj Internet Explorer 11, niezależnie od tego że tej przeglądarki nie używasz. Pobieranie także w w/w linku. Po instalacji uruchom Windows Update, by sprawdzić jakie łaty są oferowane.

Wszystko zrobione, więc znajome Ci już kroki końcowe; Skasuj z Pulpitu z "POMOC" narzędzia i ich logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Poprawki: 1. Nie odinstalowałeś programów Apple. Przypominam, że używanie QuickTime nie jest bezpieczne, krytyczne luki i usunięte wsparcie dla Windows. 2. Nadal jest problem z profilem Firefox i stoi jako domyślny ten sam co poprzednio. Powtórz kroki związane z tworzeniem nowego profilu. 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData RemoveDirectory: C:\Users\Andreas\AppData\Roaming\Maxthon3 RemoveDirectory: C:\Windows\Azart RemoveDirectory: C:\Windows\erdnt RemoveDirectory: C:\Windows\ERUNT CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Tym razem UTF-8 nie jest wymagane. Uruchom FRST i kliknij w Napraw (Fix). Fix powinien się szybko wykonać bez restartu Windows. Przedstaw wynikowy fixlog.txt.

1. Zrób w notatniku Fixlist.txt w kodowaniu UTF-8 o postaci: GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3424310977-905981195-1643685065-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3424310977-905981195-1643685065-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3424310977-905981195-1643685065-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f AlternateDataStreams: C:\ProgramData\Microsoft:B51K78KwGpK5R1vAWBfZ50JQlA [2460] AlternateDataStreams: C:\ProgramData\Microsoft:hrWjInlZ0odOqBZMx [550] AlternateDataStreams: C:\ProgramData\Microsoft:pqNH2aCI5PMsyQx6HqE [2068] AlternateDataStreams: C:\ProgramData\Microsoft:sChghMnNGRhLWYDHhkxyz8ab6qh [2366] C:\KRECYCLE C:\Program Files\CyberGhost 5 C:\Program Files\CyberGhost VPN C:\Program Files\FreeFixer C:\Program Files\Reason C:\Program Files (x86)\4ovgyw7i C:\Program Files (x86)\eclvab0f C:\Program Files (x86)\kingsoft C:\Program Files (x86)\UnHackMe C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\kdesk C:\ProgramData\Kingsoft C:\ProgramData\ProductData C:\ProgramData\RegRun C:\ProgramData\Tencent C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2\ASIO4ALL v2 Off-Line Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIcodec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cakewalk\Studio Instruments\SI-*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Creative C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DigiDesign\Plug-Ins\FocusRite D2\Digidesign Plug-Ins Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FXpansion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iLok License Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\DDLY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\Neutron C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mokafix Audio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\reFX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SynthMaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC Electronic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webplugin.exe C:\Users\Andreas\AppData\Local\{F05CE88F-EBBE-427D-97BD-F9D62CB16428} C:\Users\Andreas\AppData\Local\FreeFixer C:\Users\Andreas\AppData\Local\Kingsoft C:\Users\Andreas\AppData\Local\Redetaingrimither C:\Users\Andreas\AppData\Local\UCBrowser C:\Users\Andreas\AppData\LocalLow\IObit C:\Users\Andreas\AppData\Roaming\*.* C:\Users\Andreas\AppData\Roaming\FreeFixer C:\Users\Andreas\AppData\Roaming\IObit C:\Users\Andreas\AppData\Roaming\Kingsoft C:\Users\Andreas\AppData\Roaming\Tencent C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12 (64bit).lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KORG C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Metric Halo\Manual.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nomad Factory C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overloud\TH2\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Positive Grid C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steinberg HALionOne\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Two Notes Audio Engineering C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12 (64bit).lnk C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CPUID CPU-Z.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CyberGhost 5.lnk C:\Users\Andreas\Documents\MAGIX\Audio & Music Lab 2016 Premium\_Demo.LNK C:\Users\Andreas\Documents\RegRun2 C:\Users\Andreas\Favorites\GG dysk.lnk C:\Users\Andreas\Links\GG dysk.lnk C:\Windows\libeay32.dll C:\Windows\libcurl.dll C:\Windows\ssleay32.dll C:\Windows\winstart.bat C:\Windows\zlib1.dll C:\Windows\IObit C:\Windows\system32\ffnd.exe C:\Windows\SysWOW64\CONFIG.NT C:\Windows\SysWOW64\AUTOEXEC.NT CMD: ipconfig /flushdns Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Aracity /s EmptyTemp: Uruchom go z poziomu Trybu awaryjnego Windows. 2. Przejdź z powrotem w Tryb normalny i zrób nowe logi FRST.

Nie zapisałeś Fixlist w UTF-8, dlatego pewne wpisy nie zostały przetworzone. Zadania w większości pomyślnie wykonane, będą zadania doczyszczające, ale dostarcz pełne logi: Log Addition niekompletny z powodu który wymieniasz. Wyczyść Dzienniki: Klawisz z flagą Windows + X > Podgląd zdarzeń > W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. Uruchom FRST, zaznacz pole Shortcut.txt i ponów skan. Dostarcz pliki Addition.txt i Shortcut.txt.

Proszę o pokazanie cząstkowego Fixlog, który powinien zostać utworzony w katalogu z którego FRST uruchamiałeś. Nie uruchamiaj ponownie opcji Fix, dostarcz log który już powinien być. Folder udało Ci się usunąć, bo Fix FRST usunął wpis ShellIconOverlayIdentifiers ładujący Tencent do powłoki. W Fix FRST było więcej rzeczy do wykonania, nie tylko wpis Tencent. Nie wszystko zrobione. Na razie chcę ustalić w którym miejscu zatrzymał się Fix.

Brak oznak infekcji i nie mam się czym tu zajmować. Program wykrył folder rozszerzenia Empty New Tab Page i wygląda mi to na fałszywy alarm... Domyślnie w opcjach AdwCleaner jest ustawione prowadzenie obu tych akcji. To się wykonuje niezależnie od tego czy AdwCleaner w ogóle wykrył jakieś modyfikacje w tych miejscach. Czyli na całkowicie czystym systemie uruchomienie opcji "Oczyść" bez zmian w ustawieniach AdwCleaner zawsze będzie skutkować tym odczytem w logu.

Wbrew pozorom ta infekcja jest prosta, opiera się tylko na dwóch wpisach: Run + zadanie w Harmonogramie reimportujące modyfikację Run. Przy okazji będą do usunięcia też odpadki po aktualizacji z Windows 7 do Windows 10. Działania do przeprowadzenia: 1. Odinstaluj zbędny Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1698314851-326736941-3311299484-1000\...\Run: [Mateusz] => explorer.exe hxxp://kb-ribaki.org Task: {034E5BA9-414B-4F87-A3C0-5DAE93F13760} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {0B2BFB12-C3C8-4045-A82F-6F7C842C3C84} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {12A798CD-1EC9-4C1C-A17C-5CA771B620B6} - System32\Tasks\{75B23389-F256-4B6F-A8F7-82D9622D4D05} => pcalua.exe -a C:\Users\Mateusz\Desktop\wog\WoG_Install\Install.exe -d C:\Users\Mateusz\Desktop\wog\WoG_Install Task: {16273C2B-E61C-4692-AF72-4DF83EE6559E} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {17C819EE-2BDB-4419-80B4-D1D0FB436D71} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {1D610B3B-2BF0-4D27-85B8-FFC1328CAE1B} - \Games\UpdateCheck_S-1-5-21-1698314851-326736941-3311299484-1000 -> Brak pliku Task: {274D1AC6-4E81-48B2-91A5-0DFF5BB968E5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {27D68370-652D-4E2C-AC68-801FF29F0381} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {2D92979C-4B7D-47C0-9027-C962DC991700} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {2F759D6F-9D59-4B17-B641-63074839277F} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {35C026C8-1A54-4259-A420-EA8737BC97BF} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {375F322F-6EF9-49B9-8037-FA5C8A1F808F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {3A0032EF-07B6-4660-8CD6-E9F8D7F48B9B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3CE61CFB-AF91-4F1F-8725-E4A48CA41B08} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {468A2BD5-D058-45CE-A844-A9C83131E3AD} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {4723E685-7D04-4BA2-8AFA-13571EC3BD8D} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4DB97757-F13D-4ADE-9B9E-1EC3D9065569} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {535647D7-62EB-43F2-BD2D-3CABF2E5AFA9} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {59A4A44A-6B98-437E-A504-83BAF3B95570} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {5E07C4E1-C8A5-47DD-8F79-371F102BC589} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku Task: {6689BDC2-07DE-4AFC-A2C5-BA1EA396A54A} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {68D6B5E7-2F9C-4FCF-AF30-A16F25AD56F0} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {6914217B-FD73-4E9F-98E1-F5ED405A838A} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6EF4C0ED-0694-41EB-8BB6-FF2AF51879EA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {76B73F21-EEB6-4712-859B-9DEFE730715D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {7F2A2731-5FFE-42C4-B72B-8432E183BF6A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {826F96E1-27C9-4671-ADE6-3EC5ED2DE78B} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {8787F786-BD46-4C3C-BBB8-27CDDE19624A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {92F1446E-DD05-48B3-A229-FF092A27B4D7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {96ACDD8F-5ADD-47EB-8A6A-97BB25940D1F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {97777994-5FD0-4FD4-AF72-3F96901A7E87} - System32\Tasks\Mateusz => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mateusz /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {A5544DB6-9E9E-4BA4-B696-1A20ADFC7D12} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B10FF8A9-D418-42D1-AA63-55509377EE21} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B83566AB-6BCC-4DD7-84FF-E8A3E2547A4B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {C070CD25-FE7A-4960-B26D-88F461C9118A} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D26D3903-47A4-4C69-BC48-5BDA9EAB575A} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {D4D50053-1EF3-42B0-88DD-EE1AD6F39A39} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {E25CAF25-F7F9-4CFE-89A7-8F139563AE39} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {E7F3A25E-2F47-45D0-B78D-DD4CBD6054DC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {EC2BC85F-5B65-418F-9139-40D408358FD0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F5629234-7467-421D-A6DB-A19E271D9D37} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {FB196247-9ACD-4E2B-B83D-C48BAFD804CD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center U3 idsvc; Brak ImagePath SearchScopes: HKU\S-1-5-21-1698314851-326736941-3311299484-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-1698314851-326736941-3311299484-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mass Effect 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Star Wars - The Old Republic.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Star Wars - The Old Republic.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Działania do przeprowadzenia; 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 backlh; C:\ProgramData\Logic Handler\set.exe [3786752 2016-10-07] () [Brak podpisu cyfrowego] R2 Citdhwa; C:\Users\Radek\AppData\Roaming\AzigcWig\Geeswu.exe [121344 2016-08-11] () [Brak podpisu cyfrowego] R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2016-10-12] () [Brak podpisu cyfrowego] R2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [216704 2016-10-12] () R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-10-12] () R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 Nettrans; C:\ProgramData\NetworkPacketManitor\Nettrans.exe [57856 2016-09-28] () [Brak podpisu cyfrowego] R2 Rohucultatoergh; C:\Program Files (x86)\Hzocult\rrgsch.dll [280064 2016-10-12] () [Brak podpisu cyfrowego] R2 Viokdojvaf; C:\Users\Radek\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [Brak podpisu cyfrowego] R2 fysevowu; C:\Program Files (x86)\00000000-1476269399-0000-0000-4CCC6A653515\knsz7298.tmpfs [X] S3 cpuz136; C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [23856 2016-09-09] (CPUID) R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-10-12] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-10-12] (WinMount International Inc) <==== UWAGA R1 MaohaWifiNetPro; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [871152 2015-10-27] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] HKLM\...\Run: [gplyra] => C:\Users\Radek\AppData\Roaming\gplyra\gplyra\start.cmd [216 2016-01-19] () HKLM-x32\...\Run: [StereoLinksInstall] => "C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvstlink.exe" /install1 HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\Run: [msiql] => C:\Users\Radek\AppData\Local\Temp\00030760\msiql.exe [1883648 2016-10-12] () <===== UWAGA HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\StartupApproved\Run32: => "app" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\StartupApproved\Run: => "apphide" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\StartupApproved\Run: => "svchost0" ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-10-12] () ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-10-12] () TasksDetails: Task: {14308DB2-0D2B-4971-A160-B54F6681AF23} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {6680C602-81A6-4B0C-B05D-E8E753619F3C} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-10-12] (Shanghai Guangle Network Technology Ltd) <==== UWAGA Task: {F43D8B4D-30F4-4F84-9744-02ABF2FAE382} - System32\Tasks\Chtisriropy Renew => C:\Program Files (x86)\Hzocult\detught.exe [2016-10-12] (Glarysoft Ltd) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Tcpip\..\Interfaces\{278113f7-8e6e-4ef4-9979-f7ea34593993}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{9a09523d-76ef-11e6-a54d-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f38d7eb6-4b2a-45c1-b419-54cb4fa7c1ed}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% CHR HomePage: Profile 2 -> hxxp://www.mystartsearch.com/?type=sy&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412 CHR StartupUrls: Profile 2 -> "hxxp://www.mystartsearch.com/?type=hp&ts=1434641622&z=f67b43f16ba5c60eafc3566g5zdc8zbq8zageqco4q&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412","hxxp://www.mystartsearch.com/?type=hppp&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131207683642326213&GUID=A5398763-DE7D-448E-B204-226BC1CE32FA HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2224646682-2379115363-2177298087-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2224646682-2379115363-2177298087-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} FirewallRules: [{5B41EDAA-57A8-49EC-891A-0374D4A8EDF0}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{431AF16F-D728-4155-A416-CEF9A1F4AE8B}] => (Allow) C:\Users\Radek\AppData\Local\Temp\is-63UA0.tmp\download\MiniThunderPlatform.exe FirewallRules: [{9DA86F76-960D-47EF-A589-CDBA4928018D}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\żěŃą C:\Program Files (x86)\00000000-1476269399-0000-0000-4CCC6A653515 C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\Hzocult C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\Microleaves C:\Program Files (x86)\WeatherChickn C:\ProgramData\service.exe C:\ProgramData\Logic Handler C:\ProgramData\NetworkPacketManitor C:\ProgramData\Thunder Network C:\ProgramData\Quoteexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\TOSTACK C:\Users\Public\Thunder Network C:\Users\Radek\AppData\Local\00000000-1476301844-0000-0000-4CCC6A653515 C:\Users\Radek\AppData\Local\app C:\Users\Radek\AppData\Local\Rukutyvition C:\Users\Radek\AppData\Local\UCBrowser C:\Users\Radek\AppData\Local\Tempfolder C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Radek\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Radek\AppData\Roaming\*.* C:\Users\Radek\AppData\Roaming\AzigcWig C:\Users\Radek\AppData\Roaming\Cjotionplaratain C:\Users\Radek\AppData\Roaming\gplyra C:\Users\Radek\AppData\Roaming\Hemkajdoa C:\Users\Radek\AppData\Roaming\KuaiZip C:\Users\Radek\AppData\Roaming\Microleaves C:\Users\Radek\AppData\Roaming\Mozilla C:\Users\Radek\AppData\Roaming\NVIDIA C:\Users\Radek\AppData\Roaming\Softlink C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage C:\Users\Radek\Desktop\AutoTime.lnk C:\Users\Radek\Desktop\żěŃą.lnk C:\Windows\system32\Drivers\bsdpf64.sys C:\Windows\system32\Drivers\bsdpr64.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.