picasso

Instrukcje są dobierane indywidualnie, skrypty są niepowtarzalne i robione tylko i wyłącznie w oparciu o określone logi, nie "przerabia się" cudzych skryptów. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj starszą wersję Java 8 Update 60 (64-bit) oraz zbędny downloader produktów Autodesk Akamai NetSession Interface. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty szczątek od AVG FMW 1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 avgsvc; C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe [1046952 2015-11-12] (AVG Technologies CZ, s.r.o.) R2 WdMan; C:\ProgramData\XwinpX\WFini.exe [541928 2016-08-15] (WFini LIMITED) R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [427256 2016-08-15] () S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] () Task: {0B2E6EC6-718D-47B6-8947-5DB9221EF925} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () Task: {19E9A5F7-5137-4A0D-A70D-E788B0676341} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\BD651F1F4029A2F22A40BEE7055BB369\Update\BrowserUpdate.exe [2016-04-25] (Tencent) Task: {3352E280-9264-4229-AEC3-E2AE29EDEB63} - System32\Tasks\{EBB87DF7-8C09-4EA5-878C-B76032DE54FC} => pcalua.exe -a C:\Users\admin\AppData\Local\Akamai\uninstall.exe Task: {CBBF56FA-BA14-4502-A150-C7251E712DC7} - System32\Tasks\{36CA5291-BB5C-43E6-B28E-903372C4C1D1} => pcalua.exe -a "C:\Program Files\AutoCAD 2009\acad.exe" -d "C:\Program Files\AutoCAD 2009\UserDataCache\" Task: {D8BF545C-249A-40FE-9466-CDBBB59F0220} - System32\Tasks\{1BA3E7C9-8F28-4763-8729-0777AE3D01F2} => pcalua.exe -a E:\Installation\hpdj111series\Core.exe -d E:\Installation\hpdj111series Task: {D9BCC7B8-B18E-4FE5-A79F-080F5A77011D} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 Edge HomeButtonPage: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080" CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 FF HKLM\...\Firefox\Extensions: [pdfsam_enhanced_conv@pdfsam.com] - C:\Program Files\PDFsam Enhanced\resources\pdfsamenhancedfirefoxextension FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM-x32\...\Run: [V0770Mon.exe] => C:\WINDOWS\V0770Mon.exe HKLM-x32\...\Run: [AvgUi] => C:\Program Files (x86)\AVG\Framework\Common\avguix.exe [1136552 2015-11-12] (AVG Technologies CZ, s.r.o.) C:\Program Files (x86)\AVG C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\TXQQBrowser C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinZipper C:\ProgramData\ChelfNotify C:\ProgramData\Nero C:\ProgramData\uckt C:\ProgramData\Uncheckit C:\ProgramData\XwinpX C:\Users\admin\AppData\Local\Unity C:\Users\admin\AppData\LocalLow\Unity C:\Users\admin\AppData\Roaming\eCyber C:\Users\admin\AppData\Roaming\Nero C:\Users\admin\AppData\Roaming\Uncheckit C:\Users\admin\AppData\Roaming\WinZiper C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.0.lnk C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\EN_*.html C:\WINDOWS\SysWOW64\pl4.exe C:\WINDOWS\SysWOW64\_SSpm CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowane rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

To co notuje GMER to usługa Inteligentnego transferu w tle i nie wygląda to na infekcję per se. Podobny wątek: KLIK. W raportach FRST widać tylko crack aktywacyjny: KLIK. Crack ten będzie budził zastrzeżenia u określonych skanerów. R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-08-10] () [Brak podpisu cyfrowego] Task: {304D9080-AA43-4F06-8839-E4AFB8D7A9F5} - System32\Tasks\R@1n-KMS\Office16Mondo => wmic [Argument = path SoftwareLicensingProduct where (ID="9caabccb-61b1-4b4b-8bec-d10a3c3ac2ce") call Activate] 2016-08-10 18:16 - 2016-08-10 18:16 - 00000000 ____D C:\Windows\System32\Tasks\R@1n-KMS 2016-08-10 18:15 - 2016-08-10 18:15 - 00026112 _____ C:\Windows\KMS-R@1n.exe 2016-08-10 18:15 - 2016-08-10 18:15 - 00005120 _____ C:\Windows\KMS-R@1nHook.exe 2016-08-10 18:15 - 2016-08-10 18:15 - 00004096 _____ C:\Windows\KMS-R@1nHook.dll

Brak związku z infekcją, a jedyne co ewentualnie kojarzy mi się z blokadą instalacji od strony software, to zbyt przedsiębiorczy Comodo Internet Security, ale on był instalowany dopiero wczoraj, a problem jest "od kilku dni". Temat przesuwam na diagnostykę do działu Hardware.

Odgrzebałam stary temat przy sprzątaniu. To nie była infekcja routera, a próba edycji rejestru kompletnie niezasadna: O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}: DhcpNameServer = 7.254.254.254 To jest poprawny adres od instalacji Tunngle: W raporcie FRST Addition: Tunngle beta (HKLM-x32\...\Tunngle beta_is1) (Version: - Tunngle.net GmbH) Nie wystarczy tylko sprawdzać IP na Whois i ferować wyrok na podstawie niepolskiej lokalizacji, należy też szukać go na Google. Temat sprzed dwóch lat. Zamykam.

Odgrzebałam stary temat przy sprzątaniu. To nie była infekcja routera: Tcpip\..\Interfaces\{5F353FB7-2B12-4087-ADFF-36E25A752653}: [DhcpNameServer] 7.254.254.254 To jest poprawny adres od instalacji Tunngle: W raporcie FRST Addition: Tunngle (HKLM-x32\...\Tunngle_is1) (Version: 5.2 - Tunngle.net GmbH) Nie wystarczy tylko sprawdzać IP na Whois i ferować wyrok na podstawie niepolskiej lokalizacji, należy też szukać go na Google. Temat sprzed roku, więc nieaktualny. Zamykam.

Brak trzeciego obowiązkowego pliku FRST Shortcut. Uzupełnij.

Akcja pomyślnie wykonana. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Masowa infekcja adware systemu, w tym infekcja DNS i WMI. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP: Amazon 1Button App, Body Text Feathering, ContentPush, GameLauncher, HPSewil, shopperz, trotux - Uninstall (2 pozycje), TTWiFi 1.0.0.1. Przy okazji odinstaluj też zbędny słaby skaner Trojan Remover 6.9. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner i sprawdź czy jest plik deinstalacyjny. Jeśli jest, z prawokliku "Uruchom jako administrator". Ale pliku może nie być, bo próbował go załatwić ESET: C:\Program Files (x86)\MPC Cleaner\Uninstall.exe odmiana zagrożenia Win32/MPCCleaner.A potencjalnie niepożądana aplikacja wyleczony przez usunięcie Niezależnie od tego czy będą jakieś błędy (wejścia wyglądają na częściowo zdewastowane), kontynuuj do kolejnych punktów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: R2 HPSewil Service; C:\Users\edward\AppData\Roaming\HPSewil\HPSewilSrv2.exe [1047040 2016-08-12] (GrassWine Brick) [brak podpisu cyfrowego] R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-12] (DotC United Inc) R2 nyveqixozbt; C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3\knscF77A.tmp [276480 2016-08-12] () [brak podpisu cyfrowego] R2 SoEasySvc; C:\Program Files (x86)\SoEasySvc\SoEasySvc.exe [214168 2016-08-12] (TODO: ) R2 zigipyro; C:\Users\edward\AppData\Local\0152F095-1471041237-E411-85C7-F0761C8993C3\qnst96BF.tmp [158720 2015-12-26] () [brak podpisu cyfrowego] S2 ProntSpooler; "C:\Users\edward\AppData\Local\Apps\2.0\abril.exe" [X] R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] Task: {22289A4E-5E16-4EA8-8EC3-AE82162DDC2E} - System32\Tasks\bku2198616922750165 => Rundll32.exe "C:\Users\edward\AppData\Local\Temp\ZQMOKRVGPC_513140\BBYqZMh.DLL",#62 o6se6f8ny9z83aq Task: {73AA45EC-F7C3-41B3-BDB7-2B711973C852} - System32\Tasks\b2929b72a96a471893ecaa9c51368bae => C:\Program Files (x86)\jiiB5D1\gnpBBEB.bat [2016-08-12] () Task: {DE446CBD-E648-4042-ABEE-9A5407483394} - System32\Tasks\Ghmersevversp Monitor => C:\Program Files (x86)\Tafleclwther\ghmMntVevary.exe [2016-08-12] () Task: C:\Windows\Tasks\bku2198616922750165.job => C:\Users\edward\AppData\Local\Temp\ZQMOKRVGPC_513140\BBYqZMh.DLL ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\edward\AppData\Local\Microsoft\Windows\INetCookies\zjiry.dll [370176 2016-08-12] () HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\...\Run: [] => [X] HKLM-x32\...\RunOnce: [update] => C:\Users\edward\AppData\Roaming\ASPackage\ASPackage.exe /runonce HKU\S-1-5-21-2574603618-2478407198-2579358465-1001\...\Run: [seviler] => C:\Users\edward\AppData\Roaming\GameLauncher\Seviler\Seviler.exe [604672 2016-08-11] () Tcpip\..\Interfaces\{12F32C02-C6AE-454B-AE7C-47E8A1595051}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{144AFE9A-FC9D-4AC7-A4B2-21EDFFEAEC28}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{1F9D6780-BEED-435D-8BDB-BDC102B3A669}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{72477396-7FBE-4FA5-BD9A-8E3856AA979B}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8E5AE552-CD48-4D48-8476-D09B563469F7}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{A29D54B5-13A4-4B8E-9B30-DD4F6C02B118}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{bbed3e08-0b41-11e3-8249-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{D6A2DEAF-0B7D-4A00-B9EA-877187A98F92}: [NameServer] 104.197.191.4 ShortcutWithArgument: C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Yhid C:\Program Files\YhidUn C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3 C:\Program Files (x86)\ContentPush C:\Program Files (x86)\jiiB5D1 C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\SoEasySvc C:\Program Files (x86)\Tafleclwther C:\Program Files (x86)\Tafleclwther_ C:\Program Files (x86)\ttwifi C:\Program Files (x86)\WeatherChickn C:\ProgramData\*.bat C:\ProgramData\AVAST Software C:\ProgramData\WindowsMsg C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\Users\edward\AppData\Local\0152F095-1471041237-E411-85C7-F0761C8993C3 C:\Users\edward\AppData\Local\comapyreawecultetesp C:\Users\edward\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\edward\AppData\Local\Tempfolder C:\Users\edward\AppData\Local\Microsoft\Windows\INetCookies\zjiry.dll C:\Users\edward\AppData\Roaming\Installer.dat C:\Users\edward\AppData\Roaming\InstallationConfiguration.xml C:\Users\edward\AppData\Roaming\ContentPush C:\Users\edward\AppData\Roaming\GameLauncher C:\Users\edward\AppData\Roaming\Geunfy C:\Users\edward\AppData\Roaming\GowvePitpagf C:\Users\edward\AppData\Roaming\HPSewil C:\Users\edward\AppData\Roaming\MCorp C:\Users\edward\AppData\Roaming\UPUpdata C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*oo*le*.lnk C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

SpyHunter to program niepożądany, wątpliwej reputacji! Jeśli rzecz o zodiac-game.info, problemem jest wpis Harmonogramu przeładowujący modyfikację rejestru w kluczu Run. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj McAfee Security Scan Plus (sponsor Adobe Flash) oraz SpyHunter v4.22.8.4668. Następnie, niezależnie od tego czy standardowa deinstalacja SpyHunter się powiedzie, zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-120819078-4178527670-4014732985-1000\...\Run: [Lyssa] => explorer.exe hxxp://kb-ribaki.org Task: {30E5DDA7-28E8-490B-A6F0-05C66329315A} - System32\Tasks\Lyssa => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Lyssa /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" BHO: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku BHO-x32: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku C:\Users\Lyssa\Downloads\*-dp*.exe C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Jeszcze drobna poprawka na odpadki pozostawione po deinstalacji programów Facebook i Java. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\Run: [Facebook Update] => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2016-06-10] (Facebook Inc.) Task: {1FEC8C1B-496F-4354-9073-6EC089766655} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000UA => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [2016-06-10] (Facebook Inc.) Task: {704DBDE0-02CC-489B-B88D-91BE65AE80C1} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000Core => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [2016-06-10] (Facebook Inc.) Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000Core.job => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000UA.job => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe C:\Program Files\Java C:\Program Files (x86)\Java C:\Users\pcc\AppData\Local\Facebook Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Ostatnie kroki. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu D:\Nowy folder. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko. I wielkie dzięki za ewentualne wsparcie!

Potwierdzam rozwiązanie problemu z profilem Google Chrome. Obecnie jest tak jak powinno być, czyli stoi profil domyślny Default jako domyślny. Widzę że wrócił na miejsce Avast i jak sądzę teraz już nie miał zastrzeżeń do instalacji Google Chrome. Drobne czynności końcowe, tzn. usunięcie szczątków po odinstalowanym Comodo (foldery na dysku i strumienie ADS) oraz profilu odinstalowanego Firefox. Otwórz Notatnik i wklej w nim: AlternateDataStreams: C:\WINDOWS\system32\aclui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\acmigration.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakra.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakradiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakrathunk.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\CloudExperienceHost.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DataSenseHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DeveloperOptionsSettingsHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\difx64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DPTopologyApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DPTopologyAppv2_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\edgehtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\fbnative.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\GdiPlus.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\GfxUIEx.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Gfxv2_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Gfxv4_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\iertutil.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxCUIService.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxEM.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxext.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxHK.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxTray.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\indexeddbserver.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\IntelCpHDCPSvc.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\IntelWiDiUMS64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\LaunchWinApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\lsasrv.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MRT.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mshtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mspaint.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\offlinelsa.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers_Bluetooth.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers_nt.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\shell32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\shutdownux.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SystemSettings.UserAccountsHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\twinui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\urlmon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32k.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32kbase.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32kfull.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32u.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.Shell.Search.UriHandler.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Search.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Shell.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\aclui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakra.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakradiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakrathunk.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\edgehtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\GdiPlus.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\iertutil.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\igd12umd32.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\SysWOW64\indexeddbserver.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\IntelCpHeciSvc.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\LaunchWinApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mshtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mspaint.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\offlinelsa.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\shell32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\twinui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\urlmon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32k.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32kfull.sys:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32u.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Shell.Search.UriHandler.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Search.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\cng.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\eubakup.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\EUBKMON.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\eudskacs.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\EuFdDisk.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ksecpkg.sys:$CmdTcID [64] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\VTRoot RemoveDirectory: C:\Users\Dawid B\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\Dawid B\AppData\Roaming\Comodo RemoveDirectory: C:\Users\Dawid B\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\WINDOWS\System32\Tasks\COMODO Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy plik fixlog.txt. Nowe skany FRST nie są już potrzebne.

Poproszę o zrzut ekranu jak ten komunikat wygląda i co właściwie na nim jest. W raportach nie widzę konkretnego wpisu powiązanego z tym zachowaniem, choć i tak jest co czyścić (instrukcje poniżej). Drugie pytanie: co było robione za pomocą programu OTL, jaki skrypt był uruchamiany? Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare programy i zbędniki: Bing Bar, Facebook Video Calling 3.1.0.521, HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 77 (64-bit), Java 8 Update 77, Real Alternative 2.0.2. - Uruchom Program Install and Uninstall Troubleshooter i zajego pomocą usuń ukryty wpis Metric Collection SDK 35 (po niechcianej instalacji Lenovo). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\CurrentVersion\Windows: [Load] C:\Users\pcc\LOCALS~1\Temp\mstyxgcuo.pif HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\Policies\Explorer: [] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = www.bing.com SearchScopes: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-04] R1 avgtp; C:\windows\system32\drivers\avgtpx64.sys [50976 2014-08-15] (AVG Technologies) S3 cpuz136; \??\C:\windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] Task: {02FA39FD-DFE1-44C6-AB89-9D1B09975B14} - System32\Tasks\{8AD4B995-0AD5-4517-B5A7-6F44C22F4034} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {07862DC4-927F-4DBB-9649-16A814197BA8} - System32\Tasks\{CCD3D25B-C4D9-4664-9865-88C9B2FBF856} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {07C71F3B-DEE2-4EEE-8B04-93E4B392A255} - System32\Tasks\{D12469C1-2FC4-425E-9A14-A6FFFD3B2D2D} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {09668005-4FC7-4F08-BF0C-1AD9A27505CB} - System32\Tasks\{1A564D90-04EC-4B1D-B2F9-C6728CDFDFCA} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {143562C8-83A2-4A65-8F8C-8F53CEB16302} - System32\Tasks\{5F1CA3AA-7A13-4645-AD89-23503A1F4C0C} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {1C566971-5AD5-4427-A4F4-C38E62FF3644} - System32\Tasks\{3F430B8C-6681-4FEF-811B-AF1F3457A76F} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {1D5E64CD-2A82-4982-98F3-FEA99EF51981} - System32\Tasks\{F5184DC8-E0B0-4A16-AD8C-66455226C605} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {2133B9BE-ADBE-496E-870A-1FDBA022D8D9} - System32\Tasks\{CCD49F6C-B4A9-44B2-AB02-4078A70C65BC} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {2202DC82-A0E8-4906-AE01-8BEF18ED3F42} - System32\Tasks\{ACD7073F-9015-4E3E-ABFE-3126AB8F19B7} => pcalua.exe -a C:\Users\pcc\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {24D0E333-F647-4CBA-89E8-11DE688672C6} - System32\Tasks\{4C46945D-EB79-43BD-9529-5FC7196F23C2} => pcalua.exe -a "C:\Users\pcc\Downloads\Worms 3D\SetupReg.exe" -d "C:\Users\pcc\Downloads\Worms 3D" Task: {253BAF50-A40C-4D86-B45C-64D79AC4FCF4} - System32\Tasks\{E7DDEBD7-D788-4034-A742-AB543671C8B2} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {26F306E4-52D0-45DE-A1D7-FA3C11DCB54D} - System32\Tasks\{762A3D58-C777-4948-875A-24B93D0234BA} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {2FEE03BE-8D4D-4741-BC96-CF0CABFEBF6F} - System32\Tasks\{55BAD1D0-BB26-46C5-A99A-76EDF380642E} => C:\Users\pcc\Farming Simulator 2015\x86\FarmingSimulator2015Game.exe Task: {3017946D-3B1D-4532-B83D-437417DC0AB4} - System32\Tasks\{0F84A58E-FA53-4903-90D5-725F6AF84732} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {43ACF6C5-4045-43F7-BDEB-9C6667F29C9E} - System32\Tasks\{07766880-3BFB-4CBB-9C3E-70929321EA10} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {49A180FE-7F6C-4826-BDDC-3BF1C3252D2D} - System32\Tasks\{F5D43614-BF71-4FE0-ABE4-993C5DF787D2} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {4C2EAAB6-1331-4E64-A78C-156AFD20E965} - System32\Tasks\{6601E1ED-8D6D-46A9-9DC7-CAFEE6D99085} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {4C83AD88-CEEB-4B53-824D-968EFCCCF554} - System32\Tasks\{A7B8956D-E12C-4DD8-97CF-7940CD186871} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {597689CC-A418-4D57-AE87-20232CFB90C0} - System32\Tasks\{866A2F12-B300-4E85-A44F-5FBCDF8B4083} => C:\Program Files (x86)\GTA SA\Gta_sa.exe Task: {676FF599-6FD1-44A6-BD14-53F8C8B10639} - System32\Tasks\{11715649-2583-4E1D-A6A6-F4E2C8CAD082} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {6ABB2754-6C5E-4153-899B-591690CE6BA6} - System32\Tasks\{ECB0109C-7AC9-4B81-9168-E5B4120A3DE0} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {7C81E7CD-3061-49C7-9B56-BF68F93AFCF0} - System32\Tasks\{5756E078-1362-4804-80DA-03ABEFD2F16F} => D:\Train Simulator 2015\RailWorks.exe Task: {8AC56FB8-21F9-499D-A713-465DA555BCB7} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {921C48F9-93CB-49C4-B6C6-48B8A2CE8CF1} - System32\Tasks\{513A2BF3-21AD-4885-B591-0754E19C70BE} => pcalua.exe -a "C:\Program Files (x86)\NSR_Stage_1\uninst.exe" Task: {922F1385-6C61-4333-A268-4F7C65D7BF3B} - System32\Tasks\{D7E0F0BE-1604-4BB3-AA75-FD5E47A8366D} => C:\Users\pcc\kuba\Grand Theft Auto IV full game PC + Multiplayer ^^nosTEAM^^\Grand Theft Auto IV\LaunchGTAIV.exe Task: {A51254D3-2444-4BDB-B6F0-7E92D16061C0} - System32\Tasks\{6BCD8E52-AA8F-46BF-A7F6-0CBE90831C29} => C:\Program Files (x86)\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe Task: {ACA08BF3-2350-4369-AE84-E8E2DCADCD9B} - System32\Tasks\{704CD5A9-5E06-4B06-919A-4D0E78EA6086} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {B3128809-A0BD-49C8-9F7C-82D8A9239FBA} - System32\Tasks\{17D0E8FE-624A-4827-A58E-A14F773BC60E} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {BBE94C15-601E-4E3B-BC7B-7AD15AA93204} - System32\Tasks\{EFA45F49-6F6F-4451-ABFF-A9680529D082} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {BC51609D-D250-4D83-9153-430B6717BAC9} - System32\Tasks\{C983E86B-C3C6-465C-8B73-6F18A5FE4764} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {BD272AB3-511F-4D10-AA20-3EB29A19D5E6} - System32\Tasks\{7D8EDE4C-12DA-4B96-8431-AA7C1DA261F9} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {C15A2EEC-A5E0-4AE5-B548-FD39B1BC249A} - System32\Tasks\{8F9142A0-FD09-43D6-ADBD-56DFAA4BBC90} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {C3F55AA8-84F3-4D0B-9800-185E2923CB38} - System32\Tasks\{97A052B6-398F-4C8F-97A9-2401870B13CE} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {C45B65B6-510B-4436-954D-C8A34042DACD} - System32\Tasks\{6F972FBE-A549-4903-A917-F439A87EFD87} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {D296A5BF-2D69-4BA4-9D77-A02C85E1AD3C} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {DFD7FECB-FAE1-4423-90BF-475BC638565D} - System32\Tasks\{E54AA1E0-7643-4C47-B059-DB4C2B1FC21C} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {E8FC6AE7-D882-47AF-95DD-4DCB024A2AAD} - System32\Tasks\{48BC2671-B74C-4610-956A-D85DE3B438C3} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {EC6F7936-9D68-4BA5-AFC2-2BAE7B149AB3} - System32\Tasks\{EAC6FFBC-AA32-4B27-BFFD-B5431E691A4D} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {EE06EFC2-6481-483D-835C-D7E60CB67F39} - System32\Tasks\{E013120E-9679-4C02-904D-C702078F573E} => pcalua.exe -a "C:\Program Files (x86)\ShopperPro\SPremove.exe" Task: {F0C69E25-3026-47B0-8A87-0AE469F8A574} - System32\Tasks\{D0A4E922-959C-4C8E-9E76-6CD2A8F339F9} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {FF46EA4D-2DB5-4454-BCCA-BEE9F05F05CC} - System32\Tasks\{B829C2F4-D92E-4F79-81E4-65DFF386A544} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Classes\exefile: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Classes\.exe: exefile => DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\DLL Suite C:\Program Files (x86)\DllTool C:\Program Files (x86)\Lenovo C:\ProgramData\1441394140.bdinstall.bin C:\ProgramData\1441394392.bdinstall.bin C:\ProgramData\1441394395.bdinstall.bin C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall Messenger for Desktop.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{F5E88F43-1E40-4D96-92E5-D1DF03ECC7DE} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{f5aa5b6a-a384-422b-a907-d999459ba78e} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{c0ece13b-586f-4a9f-97b9-c4ce9580cdb8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{adbbcb61-5032-4d77-bed4-7c74d86c07b8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{858832fa-2921-4f05-ab02-1e13a842ae39} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{7ad64128-be81-4f69-9356-9934f0d3c5b8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{56e56f32-3715-450b-aa67-5bcd65a3a212} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{367a1a34-e291-466e-b1c8-0380d1b3646c} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{34effc27-0104-4012-af9a-331b3ddfb271} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{32aea27d-498e-4ee7-86da-127272427b0c} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{1dd28cf6-954c-426b-a6cb-f704e09f6689} C:\Users\pcc\AppData\Local\Lenovo C:\Users\pcc\AppData\Local\Mozilla C:\Users\pcc\AppData\Roaming\Mozilla C:\Users\pcc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\pcc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NIEOFICJALNE SPOLSZCZENIE PES2013 v.1.1 C:\Users\pcc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\pcc\Favorites\GG dysk.lnk C:\Users\pcc\Links\GG dysk.lnk C:\Windows\System32\drivers\avgtpx64.sys C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tzw. Rocznicowa aktualizacja Windows 10 (Wersja 1607) wprowadza Edge 38.14393.0.0 obsługujące rozszerzenia. Dodałam wstępny opis tej części.

Prawoklik na plik C:\Windows\system32\lusrmgr.msc > Uruchom jako Administrator > powinna uruchomić się przystawka zarządzania lokalnymi kontami, z poziomu której można alternatywnie przeprowadzić dodawanie lokalnego konta.

Podałam już wcześniej kroki końcowe. Temat rozwiązany. Zamykam.

Te komunikaty były właśnie związane z zadaniem adware PriceFountain w Harmonogramie, co pomyślnie FRST usunął. Zapomniałeś dodać plik Fixlog.txt z wynikami skryptu, ale już to sobie darujmy, gdyż w logach widać pozytywne zmiany. Przeoczyłam błędy w Dzienniku zdarzeń, masz uszkodzony rejestr: Dziennik Aplikacja: ================== Error: (08/12/2016 12:42:08 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Baza danych rejestru konfiguracji jest uszkodzona. Error: (08/12/2016 12:42:08 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Baza danych rejestru konfiguracji jest uszkodzona. for C:\Users\Kamil\AppData\Local\Microsoft\Windows\\UsrClass.dat Rozwiązaniem jest założenie nowego konta użytkownika w Windows i usunięcie starego.

Hmm, FRST poprawnie uzgodnił wejścia NameSpace (licznik wpisów koresponduje do ilości wejść). Czy to na pewno jest obecnie problem z Winsock? Ten plik wywalony przez AdwCleaner należał do instalacji ProxyCap. Program jest nadal na liście zainstalowanych. Odinstaluj go, zresetuj system i podaj czy są jakieś zmiany.

Czyli tak jak przypuszczałam, nie ma to związku z (właśnie usuniętym) sterownikiem adware. Zamykając temat czyszczenia w dziale infekcji: Temat przenoszę na diagnostykę do działu Hardware. Dostarcz dane wymagane działem: KLIK.

Poproszę o pełny wyciąg kluczy Winsock. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2 /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

KOMPUTER Z WINDOWS 8: Czy na pewno odinstalowałeś wcześniej adware Browser-Security? Nadal to widać w starcie. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\...\Run: [safe_urls768] => C:\Users\Madzia\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Madzia\AppData\Roaming\Browser-Security RemoveDirectory: C:\Users\Madzia\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. KOMPUTER Z WINDOWS XP: Pomyliłeś się przy wklejaniu, obciąłeś literę w pierwszej komendzie CloseProcesses:, dlatego nie wykonało się zabijanie procesów. Reszta komend wykonana. Na koniec skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK. PENDRIVE: W Opcjach folderów włącz pokazywanie ukrytych, tzn. odznacz opcję Ukryj chronione pliki systemu operacyjnego. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy infekcji: [06/08/2016 - 10:39:28 | A | 2 Ko] - G:\USB DISK.lnk [20/07/2016 - 10:57:32 | RASHD] - G:\WindowsServices Natomiast z poniższego folderu przenieść swoje dane poziom wyżej, a po tym skasuj folder "z kreską": [20/07/2016 - 10:57:32 | SHD] - G:\_

Zabrakło obowiązkowego pliku FRST Shortcut. Nie podałeś co konkretnie i gdzie wykrywa Windows Defender. W raportach FRST widać tylko szczątki adware (głównie PriceFountain) i dziwną zawartość pliku Hosts. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 72 (64-bit), Java 7 Update 72. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy wpis Google Update Helper. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0854BC54-7C46-4962-962C-F5D321F372EF} - System32\Tasks\Windows Installer => C:\Users\Kamil\AppData\Roaming\Updater\winupd.exe <==== UWAGA Task: {0CC712E4-9DA9-49B7-AFA9-61ACC5354FBB} - System32\Tasks\Uninstaller_SkipUac_Administrator => E:\1Programy\IObit Uninstaller\IObitUninstaler.exe Task: {26568B8A-0EBC-4A85-9DB9-AE48E919EB36} - System32\Tasks\{183202AE-979F-8454-99D4-15E30054407C} => C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C}\SynHelper [Argument = /Check] <==== UWAGA Task: {5B84AAAC-B9A0-43C6-871E-03F5A8768162} - \Full Cleaner -> Brak pliku <==== UWAGA Task: {6D1BC589-9FB2-465A-BF57-6D59F3479CB9} - System32\Tasks\Driver Booster SkipUAC (Kamil) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {7F8D85F1-DC1B-46F8-93D3-1022963C4903} - System32\Tasks\Open Chrome => Chrome.exe --new-window hxxp://toolbar.avg.com/almost-done?pid=safeguard&amp;lang=en Task: {8F9A17DF-8D87-4D80-888C-D1EBA40DF948} - System32\Tasks\{693C22F5-8A7A-4095-8627-C2487720AC8A} => pcalua.exe -a D:\Baldur.exe -d D:\ Task: {96CC9F8C-B458-4993-8ACE-76D0B1419663} - System32\Tasks\Driver Booster SkipUAC (SYSTEM) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {A40B047C-602C-4180-82F0-6C02487ED1EE} - System32\Tasks\KamilCalendsVariablenessV2 => Rundll32.exe SentencedSneaked.dll,main 7 1 <==== UWAGA Task: {DC3429B6-DB41-4C29-93E5-2BC075AE035A} - System32\Tasks\Uninstaller_SkipUac_Kamil => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {F879CBF5-D5AB-49D9-9FFE-1F5E831A25C4} - \Full Cleaner Logon -> Brak pliku <==== UWAGA Task: C:\WINDOWS\Tasks\Open Chrome.job => c:\program files (x86)\Google\Chrome\Application\chrome.exeF--new-window hxxp:/toolbar.avg.com/ Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Administrator.job => E:\1Programy\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Kamil.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\{183202AE-979F-8454-99D4-15E30054407C}.job => C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C}\SynHelper/Check Kamyk\Kamil 0ߕ ֠< <==== UWAGA HKLM-x32\...\Run: [QuickTime Task] => C:\Windows\SysWOW64\qttask.exe [98304 2013-06-03] (Apple Computer, Inc.) HKU\S-1-5-18\...\Run: [Advanced SystemCare 8] => "C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCTray.exe" /Auto HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" S3 ALSysIO; \??\C:\Users\Kamil\AppData\Local\Temp\ALSysIO64.sys [X] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{183202AE-979F-8454-99D4-15E30054407C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\CalendsVariableness DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Desktop iCalendar.exe" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v f.lux /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FreeAC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NetMon /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Google Desktop Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS EPM tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v CodecPackTrayMenu.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v CodecPackUpdateChecker.lnk /f C:\Program Files\Enigma Software Group C:\Program Files (x86)\Computer Computer C:\Program Files (x86)\Google C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} C:\ProgramData\mtbjfghn.xbe C:\Users\Kamil\AppData\Local\{6578B065-08AA-4068-BDA3-A439751D5B3B} C:\Users\Kamil\AppData\Local\{7987E687-E3B7-4E1D-9EEE-5464375D6873} C:\Users\Kamil\AppData\Local\CalendsVariableness C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\*.* C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C} C:\Users\Kamil\AppData\Roaming\Full Cleaner C:\Users\Kamil\AppData\Roaming\Updater C:\Windows\SysWOW64\qttask.exe CMD: netsh advfirewall reset RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ustaw Vivaldi jako domyślną przeglądarkę, gdyż obecnie brak zdefiniowanej. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy WindowsDefender nadal coś wykrywa.

Wszystko wykonane pomyślnie. Nic się nie wypowiadasz czy po użyciu skryptu FRST i restarcie systemu odzyskałeś dostęp do sieci. FRST powinien w prawidłowy sposób skorygować Winsock na poziomie rejestru (usunięcie wejścia i przenumerowanie wpisów w łańcuchu). Jeśli sieć już działa, wykonaj kroki końcowe, tzn.: Usuń D:\frst program diagnostyczny z FRST i jego logami. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zasady działu: KLIK. Dostarcz obowiązkowe raporty z FRST: KLIK.

Problemem jest, że AdwCleaner wywalił na chama plik z dysku, który był wpięty w Winsock: :: Winsock2 - usunięto pcapwsp.dll ... pozostawiając niezsynchronizowany Winsock (zero akcji na poziomie rejestru): Winsock: Catalog5-x64 07 pcapwsp.dll Brak pliku Uszkodzona część to Winsock NameSpace, dlatego nie pomaga komenda "netsh winsock reset", która resetuje jedynie Winsock Protocol. I jest tu więcej do interwencji niż tylko uszkodzony dostęp do internetu. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Catalog5-x64 07 pcapwsp.dll Brak pliku InternetURL: C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winol.url -> URL: C:\Users\Maniek\AppData\Roaming\Winol\winol.exe BootExecute: autocheck autochk * sh4native Sh4Removal Task: {30D17A75-A2D0-445D-A734-06D91A2C7B2C} - System32\Tasks\{8FEA13AD-C995-4D3D-B629-A2B3AD9F1730} => E:\PENTAGRAM.exe Task: {407FEB86-4FED-4CE6-836B-5258ACE61828} - System32\Tasks\{C923ABFE-E423-4E88-A56D-BD9A6135DF39} => Task: {5473067B-88B6-48B8-88AC-0BD20734C915} - System32\Tasks\DropboxUpdateTaskMachineUA => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: {7E5F8E9E-A72F-45A7-A8D0-167749622FE5} - System32\Tasks\SkypeUpdater => C:\Users\Maniek\AppData\Roaming\Skype\download.exe Task: {ABFFF1C9-8419-484A-B190-DA2977490F9A} - System32\Tasks\SkypeAutoUpdate => C:\Users\Maniek\AppData\Roaming\Skype\download.exe Task: {B80EA246-8C31-4765-8127-3D999BFFD2F3} - System32\Tasks\DropboxUpdateTaskMachineCore => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: {BDB8C76A-7CED-4A95-A6A1-E4B08F745511} - System32\Tasks\DriverMaxAgent => F:\Program Files (x86)\Innovative Solutions\DriverMax\drivermax.exe Task: C:\Windows\Tasks\DropboxUpdateTaskMachineCore.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe Task: C:\Windows\Tasks\DropboxUpdateTaskMachineUA.job => C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe HKLM-x32\...\Run: [sSBkgdUpdate] => "C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-199027117-3936704272-4168754261-1001\...\Run: [AdobeBridge] => [X] S4 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S4 dbupdate; "C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe" /svc [X] S4 dbupdatem; "C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe" /medsvc [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: [s-1-5-21-199027117-3936704272-4168754261-1001] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKU\S-1-5-21-199027117-3936704272-4168754261-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = IE trusted site: HKU\S-1-5-21-199027117-3936704272-4168754261-1001\...\hola.org -> hxxp://hola.org DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset C:\iexplore.bat C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Extreme Picture Finder 3\Extreme Internet Software on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Maniek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk C:\Users\Maniek\AppData\Roaming\Winol C:\Users\Maniek\Desktop\GRY\7DaysToDie — skrót.lnk C:\Users\Maniek\Desktop\GRY\Darkest — skrót.lnk C:\Users\Maniek\Desktop\GRY\Fallout New Vegas.lnk C:\Users\Maniek\Desktop\GRY\fnv4gb - skrót.lnk C:\Users\Maniek\Desktop\GRY\Punch Club — skrót.lnk C:\Users\Maniek\Desktop\GRY\Saints Row Gat out of Hell.lnk C:\Users\Maniek\Desktop\GRY\Saints Row IV.lnk C:\Users\Maniek\Desktop\GRY\Sexy Beach Premium Resort.lnk C:\Users\Maniek\Desktop\Programy\Avira Control Center.lnk C:\Users\Maniek\Desktop\Programy\Avira System Speedup.lnk C:\Users\Maniek\Desktop\Programy\DTLite — skrót.lnk C:\Users\Maniek\Desktop\Programy\ESET Ochrona bankowości internetowej.lnk C:\Users\Maniek\Desktop\Programy\Genymotion.lnk C:\Users\Maniek\Desktop\Programy\Genymotion Shell.lnk C:\Users\Maniek\Desktop\Programy\WireShare 5.6.4.3.lnk C:\Windows\SysWOW64\zlib.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Skróty przeglądarek zostały przekierowane na szkodliwe pliki BAT, toteż zostały usunięte skryptem FRST. Ręcznie odtwórz w wybranych miejscach skróty do przeglądarek. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition lecz bez Shortcut. Dołącz też plik fixlog.txt.