picasso

Tym razem Fixlist nie miał być w Unicode, w przeciwnym wypadku bym to zaznaczyła - to kodowanie jest wymagane tylko gdy są linie z obcymi znakami (chińskie krzaki, cyrylica, etc). Jest tu dziwny przypadek, niby wszystko się usuwa, ale się odtwarza. Jeszcze jedno podejście, tym razem w nieco innym układzie procesów i inna metoda modyfikacji AppInit_DLLs. Jeśli to nie zadziała, trzeba będzie się zastanowić czy przypadkiem nie jest to jakaś nowa wersja mająca ukryty inny loader w miejscu którego nie skanuje FRST. Na razie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-12] () [brak podpisu cyfrowego] Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YffAUcnuWgbrIySzScRd4UBvlgR0sAeWt5i4skNfU4HYj0xIAo8n49u-2SmqxKV6slsAMZdpAQ, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\ProgramData\xifs C:\ProgramData\xifss C:\Windows\SysWOW64\findit.xml EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Punkty 2 do 4 z mojego poprzedniego posta nadal aktualne.

To wskazuje na problem routera / urządzenia rozdzielającego sieć, a nie na problem w Windows przedstawionym tu w raportach. Tak więc zasadne w pierwszej kolejności skontaktować się z dostawcą, bo może tu nie ma co szukać w innych sferach. Pozostałe zgłoszone problemy są za to po stronie Windows: Jedna z ostatnich akcji to crackowanie aktywacji Windows, są zmodyfikowane pliki systemowe, a Dziennik zdarzeń pluje poniższymi błędami. Tak więc sugerowane odkręcenie działania cracka. Dziennik Aplikacja: ================== EError: (06/26/2016 04:08:21 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. Dziennik System: ============= Error: (06/26/2016 05:42:56 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Usługa powiadomień SPP zakończyła działanie; wystąpił następujący błąd: %%5 = Odmowa dostępu. Dodatkowo, nie jest wykluczone, że te problemy są wynikiem aktywności antywirusa Panda. Na przyszłość: diagnostyka infekcji w innym dziale. Owszem infekcja tu była, są ślady adware oraz trojanów załadowanych za pomocą cracka RemoveWAT. Niemniej to nie są aktywne obiekty, nie powinny mieć związku z innymi problemami. W spoilerze doczyszczanie tego i inne poboczne działania.

Na koniec: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. PS. Ad "podałeś" = jestem kobietą.

Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\xifs\Groovelam.dll => C:\ProgramData\xifs\Groovelam.dll [363008 2016-07-08] () AppInit_DLLs-x32: C:\ProgramData\xifs\Scottech.dll => C:\ProgramData\xifs\Scottech.dll [257536 2016-07-08] () S2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-08] () [brak podpisu cyfrowego] Task: {E0641DFE-A70B-43A4-861F-FC85C068AA40} - System32\Tasks\Driver Booster SkipUAC (Bolec) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YYX2PCO0QP0vNPzGCB-1ZjjwS5KmrjpCbiodksEu1bCkYh2nCk7odGwWj2liHuI5vj2ZK-mBFo, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\Program Files\Common Files\uwqb4avd.exe C:\ProgramData\xifs C:\ProgramData\xifss C:\Users\Bolec\AppData\Roaming\ProxySettings.dll C:\Users\Bolec\AppData\Roaming\uninstall_temp.ico C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\temp.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną usunięte. Nie polecam blokera AdBlocker Ultimate, jest to niejasny produkt, tu mój opis po angielsku dlaczego są wątpliwości: KLIK. A zamiast Adblock Plus proponuję uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Prócz problemu zasadniczego, jest w tle uruchomiony też moduł reklamodawczy uTorrent, niejaki "utorrentie.exe": KLIK. Sugeruję rezygnację z tego klienta torrent, który od dawna jest siedliskiem adware i dziwnych zagrywek. W zamian np. qBittorrent. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Jest tu owszem aktywny obiekt adware SearchmeToolbar w starcie, ale to być może nie ma związku z problemem. Wstępnie usuń tego dziada i zobaczymy co się stanie. USUWANIE ADWARE: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj SearchmeToolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3398741477-1664561108-1094157638-1002\...\Run: [searchmeToolbarST] => C:\Users\Ja\AppData\Roaming\SearchmeToolbar\SearchmeToolbar.exe [1607712 2016-06-02] () C:\Users\Ja\AppData\Roaming\SearchmeToolbar HKU\S-1-5-21-3398741477-1664561108-1094157638-1002\...\Run: [] => [X] Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BlueStacks Agent" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Secunia PSI Tray.lnk" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. JEŚLI POWYŻSZE NIE POPRAWI SYTUACJI: Sugestie: 1. Wykonaj test z czystym rozruchem: KLIK. 2. Sprawdź czy deinstalacja AVG coś wniesie do sprawy. Nawiasem mówiąc, Avast przejął AVG, nie wiadomo co się stanie na dalszą metę z antywirusem AVG. 3. W przypadku braku rezultatów wykonaj specjalny log wg tych instrukcji: KLIK. Zgłoś się na PW do moderatora mgrzeg, by się przyjrzał mu.

Powiedz mi z jakiego profilu korzysta Light i w której lokalizacji - tzn. potwierdź mi, że profil przeglądarki jest w C:\Users\LG\AppData\Roaming\Light. W tym przypadku możesz całkowicie przez SHIFT+DEL (omija Kosz) skasować z dysku foldery standardowego Firefoxa z adware: C:\Users\LG\AppData\Local\Mozilla C:\Users\LG\AppData\Roaming\Mozilla C:\Users\LG\AppData\Roaming\Profiles

Problem z deinstalacją nie ma żadnych oznak w raporcie. Jakich programów tyczą te błędy? Sprawdzałeś jak to wygląda po deaktywacji Avast? Czy przypadkiem nie zaszkodziłeś sobie jakiś "czyszczeniem rejestru" (widzę w raporcie stare programy tego typu)? Natomiast jeśli chodzi o zmulenie, to jest tu połączenie aktywnych Avast i bardzo starego Ad-Aware, na dokładkę jeszcze szczątki Symantec (ale te nie są uruchomione). Nie. Wstępnie: 1. Zastosuj Norton Removal Tool. 2. Spróbuj odinstalować stare pogramy normalną drogą: Ad-Aware, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1, Facebook Video Calling 3.1.0.521, Gadu-Gadu 10, Gadu-Gadu 7.7, Java 7 Update 9, Java™ 6 Update 22, Java™ 6 Update 6, McAfee Security Scan Plus, RegDoctor 1.67, Registry Mechanic 6.0, Spybot - Search & Destroy. W przypadku błędów deinstalacji: - Sprawdź czy coś się zmieni, jeśli wywołasz deinstalatory bezpośrednio z danego folderu programu w C:\Program files. Z prawokliku "Uruchom jako administrator". - Zastosuj specjalizowane usuwacze Adobe i Java linkowane w przyklejonym, a do reszty Wise Program Uninstaller. 3. Usunięcie wpisów szczątkowych: 4. Czyszczenie przeglądarek z niepodpisanych cyfrowo dodatków i martwych wpisów: - W Firefox: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. - W Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt ze spoilera. Opisz jaki jest stan, czy problem z deinstalacją występuje i w jakich konkretnie przypadkach.

To nie jest problem infekcji. Temat przenoszę do działu Software. Podane instrukcje nie miały związku z próbą rozwiązania problemu. Co oznacza tekst "bez logowania się na konto bez rozszerzeń Chrome", czy mam rozumieć, że testowałeś Chrome bez jakichkolwiek wtórnych rozszerzeń? Jeśli tak, to nie mam co rozważać co jest widziane w raporcie, w przeciwnym wypadku podejrzewałabym rozszerzenia manipulujące z połączeniem, czyli "DotVPN — a better way to VPN" oraz "Unlimited Free VPN - Betternet". Zastanawiają mnie też serwery Norton DNS, może to jest problem. Sprawdź czy coś się zmieni po zmianie serwerów DNS na te od Twojego dostawcy. Tcpip\..\Interfaces\{7e2ff2d4-4edc-4973-bb1e-cba5b6479854}: [NameServer] 199.85.126.10,199.85.127.10 AdwCleaner wykrywa w pliku Secure Preferences identyfikator elicpjhcidhpjomhibiffojpinpmmpil od rozszerzenia Video Downloader professional. Owszem, ten produkt nie jest godny zaufania, mocno podejrzany. Kiedyś sprawdzałam wersję Firefox, ten sam autor porobił kilka klonów o podobnej funkcji i wszystkie miały adware zintegrowane.

bolec poproszę o świeże raporty z FRST, wszystkie trzy (FRST.txt, Addition.txt, Shortcut.txt).

Określ które logi są właściwe i czy w ogóle jakiekolwiek są takimi, gdyż nie pochodzą z tego samego komputera: FRST (Windows 7, konto Stach, zainstalowany AVG), GMER (Vista, konto Jurek, zainstalowany Avast). Temat i tak przeniosę do działu Windows, problem raczej nie będzie powiązany z infekcją.

Jeśli chodzi o czyszczenie z adware, to tylko jeden martwy wpis deinstalacyjny pozostał. Na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Z końcowych raportów nic już nie wynika. Na razie to mi przychodzi na myśl, by przetestować deinstalację McAfee, czy to będzie mieć jakieś skutki pozytywne.

1. AdwCleaner dopatrzył się jeszcze szczątków adware, w tym komponentów świńskiego "Asystenta pobierania" dobrychprogramów: KLIK. Uruchom AdwCleaner ponownie, zastosuj po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS narzędzia Microsoftu oraz GMER i jego log. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. W systemie jest stara niewspierana wersja IE8, zainstaluj IE11 który jest linkowany też w/w temacie. Następnie uruchom Windows Update, by dociągnąć resztę brakujących łat. Wyszukiwanie aktualizacji może długo trwać i obciążyć proces svchost. Przeczekać cierpliwie ten etap.

Trzeci skrypt pomyślnie wykonany. Na zakończenie na każdym kompie po kolei: Skasuj ręcznie FRST i jego logi. Następnie popraw jeszcze przy udziale DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tematy sklejam razem, to nie jest problem infekcji i nie ma co szukać w tym kierunku. A rozwiązania zgłoszonego problemu aplikacji nie znam. Może poproś na PW moderatora mgrzeg o spojrzenie na temat, być może będzie miał jakiś pomysł na diagnostykę.

To zapewne nie ma związku z infekcją, temat zostanie przeniesiony do działu Windows (gdy pozyskam informację o jakim tu systemie w ogóle mowa). Ten komunikat występuje głównie przy uszkodzeniu pliku systemowego z grupy KnownDLLs, a sprawdzanie dysku pod kątem błędów definitywnie wskazuje, że nastąpiły jakieś naruszenia struktury plików. 1. Zostałeś skierowany do zrobienia raportu FRST, który uruchomiony z poziomu środowiska RE skanuje tę sferę i wykazuje odchyły od domyślnego układu (czyli byłoby wiadome którty plik został uszkodzony): KLIK. Raportu nie dostarczyłeś. 2. Dodatkowo, od razu możesz zapuścić skan SFC z poziomu środowiska zewnętrznego RE: KLIK.

W raportach przed formatem widać było te dwa szkodniki, wszystko nabyte z crackiem Removewat do Windows: HKU\S-1-5-21-1385842997-4188774176-3145061945-1001\...\Run: [Efdtion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Mimi\AppData\Local\YhdtPack\fnsdyvll.dll Task: {8BCF7E78-BA0C-4BC9-82F6-C0C8CB5E5F85} - System32\Tasks\PPI Update => "hxxp://dazwindowsapps.xyz/download/index.php?mn=9995" Owszem, zalecam zmianę wszystkich haseł, gdyż nie jest wiadome co konkretnie miała na celu ta infekcja.

Akcje pomyślnie wykonane, nic już szkodliwego nie widać. Niemniej jeszcze na wszelki wypdek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Wszystkie składniki Google Chrome zostały usunięte skryptem FRST, tzn. profil lokalny i folder globalny na dysku oraz klucze w rejestrze. Jeśli ponownie zostanie zainstalowana ta przeglądarka, należy od razu zresetować synchronizację (o ile była czynna), by zapobiec załadowaniu z serwera Google potencjalnie szkodliwych ustawień: KLIK.

Następnym razem proszę powstrzymaj się z przywracaniem programów podczas gdy czyszczenie nie zostało ukończone. To zaburza procesy. No cóż, AdwCleaner wykrywa masę składników Ace Stream Media. Log nie jest więc wiarygodny w kontekście tego, że chcesz zatrzymać ten program, użycie AdwCleaner uszkodzi go, a wykluczeń ręcznych jest tu stanowczo zbyt dużo do wdrożenia. Tymczasowo poprawnie odinstaluj Ace Stream Media, następnie zapuść AdwCleaner ponownie i tym razem zastosuj sekwencję opcji Skanuj + Usuń, dostarcz log z czyszczenia. I na razie Ace Stream Media nie instaluj ponownie, dopóki nie skończymy z czyszczeniem systemu, gdyż kolejny skaner, który mam w zamiarze zastosować może go też wykrywać... To Twoja decyzja, by używać program z adware, ja to jednak odradzam.

Na koncie Wychowawczyni poprawki: 1. Do deinstalacji także zestaw Apple: Apple Software Update, Obsługa programów Apple, QuickTime 7. Wykryte groźne luki, które nie zostaną już załatane. Apple zlikwidowało wsparcie dla Windows. 2. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX DeleteKey: HKLM\SOFTWARE\Mozilla C:\Documents and Settings\Wychowawczyni\Dane aplikacji\Mozilla C:\Documents and Settings\Wychowawczyni\Ustawienia lokalne\Dane aplikacji\Mozilla C:\WINDOWS\0 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Jakiś czas temu już się zorientowałam, że podmienili narzędzie. Wersję XP pobierzesz z przyklejonego opisu Program Install and Uninstall Troubleshooter. Konto Administrator jest wbudowane w system i nadal istnieje. Nie widać go na ekranie logowania w trybie normalnym, tylko na ekranie podczas wchodzenia w tryb awaryjny.

1. Hitman nie wykrył nic szczególnego: drobne szczątki adware, cracki Adobe, kopię FRST (fałszywy alarm) oraz ciastka. Przez SHIFT+DEL skasuj w całości te foldery: C:\ProgramData\Downloaded Installations\1.0.30.1003 C:\Users\Sławomir\Desktop\POBRANE\FRST-OlderVersion A resztę wyników potraktuj za pomocą Hitman. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. Jeszcze przez SFIFT+DEL (omija Kosz) dokasuj z dysku ten folder: C:\Program Files (x86)\Common Files\config Skasuj także FRST i jego logi z "Nowego folderu" na Pulpicie. 2. Zastosuj DelFix, by usunął resztę składników używanych narzędzi. 3. Przeprowadź skan za pomocą Hitman Pro. Jeśli coś wykryje, dostarcz log z wynikami.

Raport z Autoruns nie jest mi potrzebny i go usuwam. FRST zawiera wszystko co potrzeba do oceny zjawiska. Niekompletny zestaw logów FRST, brak obowiązkowego raportu FRST Shortcut. Owszem, są tu aktywne komponenty adware, ale nie jest wcale wykluczone, że problem może tworzyć też ... McAfee per se. To bardzo rozbudowany i inwazyjny program, jak zresztą inne zabezpieczające tego typu. Na razie usuń adware i zobaczymy co z tego wyniknie: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Browser-Security oraz zbędny McAfee Security Scan Plus (sponsor Adobe Flash). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj ukryte wpisy Metric Collection SDK i Metric Collection SDK 35 pozostawione po niechcianej instalacji Lenovo REACHit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 DeskTop_F; C:\ProgramData\desktopfind\desktop154.exe [236728 2016-03-16] (DeskTopService) R2 WdMan; C:\ProgramData\owinpo\WFini.exe [562408 2016-07-04] (WFini LIMITED) R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS) Task: {3A7B0187-0DC2-4415-9BDE-CEEA67EE66ED} - System32\Tasks\Lenovo\REACHit Agent Update => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe Task: {4412F7B2-2736-413D-B19C-74F176B85D88} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {F9828478-FEBC-4007-ABF8-40B77EDB1FC3} - System32\Tasks\Lenovo\REACHit Agent Startup => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo Tcpip\..\Interfaces\{EFA04CBB-DEBA-446C-999A-DE3EA9AFD57F}: [DhcpNameServer] 172.131.1.171 HKU\S-1-5-21-4094207102-437010263-1326338917-1001\...\Run: [safe_urls768] => C:\Users\Dawid\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-4094207102-437010263-1326338917-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458220259&z=511d9771393027ecc559f98gczfweb2odo8e3o3w2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S314JA0F418424418424&q={searchTerms} HKU\S-1-5-21-4094207102-437010263-1326338917-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-4094207102-437010263-1326338917-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1458220259&z=511d9771393027ecc559f98gczfweb2odo8e3o3w2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S314JA0F418424418424&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445259079&from=zzgbkk123&uid=st1000lm024xhn-m101mbb_s314ja0f418424418424&z=706dcca6a14c32639173203g1z7z9wfo4w6t4ecmbw&q={searchTerms} SearchScopes: HKU\S-1-5-21-4094207102-437010263-1326338917-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445259079&from=zzgbkk123&uid=st1000lm024xhn-m101mbb_s314ja0f418424418424&z=706dcca6a14c32639173203g1z7z9wfo4w6t4ecmbw&q={searchTerms} SearchScopes: HKU\S-1-5-21-4094207102-437010263-1326338917-1001 -> {4DACED08-AD3C-41F8-A7E3-FB3DF77ACCF5} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v EADM /f C:\Program Files (x86)\WinZipper C:\ProgramData\desktopfind C:\ProgramData\DwinpD C:\ProgramData\iwinpi C:\ProgramData\owinpo C:\ProgramData\zwinpz C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Dawid\AppData\Local\Google C:\Users\Dawid\AppData\Roaming\Browser-Security C:\Users\Dawid\AppData\Roaming\eCyber C:\Users\Dawid\AppData\Roaming\WinZiper C:\Users\Dawid\AppData\Roaming\TSv C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys C:\Windows\System32\Tasks\Lenovo C:\Windows\SysWOW64\*.html C:\Windows\SysWOW64\_TSpm C:\Windows\SysWOW64\_tWm Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Za pomocą skryptu FRST zostały usunięte zainfekowane skróty Firefox, więc odtwórz sobie skróty ręcznie w dowolnych miejscach. Następnie uruchom Firefox i wyczyść konkretnie z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Hardware. Opis sugeruje, że prawdopodobnie uaktywnia się alert BIOS związany z temperaturą - przykładowy temat z forum Minecraft: KLIK. Wyliczasz tu "max temperatury", ale czy takie są osiągane podczas grania? PS. Logi FRST stąd usuwam, przy czym Addition.txt nawet nie był z Twojego komputera tylko omyłkowo z cudzego tematu pobrany i załączony. Logi pod kątem infekcji zostały już ocenione w drugim temacie.

Istotnie ta infekcja jest infekcją routera. W raportach FRST nie ma jednak śladów rekonfiguracji DNS na tym poziomie. Wspominasz o zmienionym haśle, ale czy również panel zarządzania jest zablokowany? Skoro wymiana routera nie załatwiła sprawy przekierowań, problem przypuszczalnie generuje któreś cache (bufor DNS i/lub cache przeglądarek). Podany powyżej skrypt do FRST dedykuje tylko jedno z miejsc (EmptyTemp:), co prawdopodobnie nie załatwi sprawy. Trzeba dodać jeszcze komendę czyszczenia bufora DNS ipconfig /flushdns. To jednak dotyczy tylko i wyłącznie komputera z Windows. Na telefonach trzeba już ręcznie zresetować ustawienia i cache, co może się sprowadzać do resetu urządzeń do ustawień fabrycznych. Czyli zamiast podanych powyżej instrukcji: 1. Konkretnie wyczyść Firefox z preferencji adware (czyszczenie dokładniejsze niż przetwarzanie tylko widocznych w raporcie FRST linii): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Po tym dla świętego spokoju możesz jeszcze uruchomić podany AdwCleaner. 2. Skrypt do FRST o innej postaci: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-575411724-1307231427-2836151415-1002 -> {F7B5B76B-1F3D-401C-96D7-3B43AA21931B} URL = hxxps://uk.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default S1 fvypgemp; \??\C:\Windows\system32\drivers\fvypgemp.sys [X] S3 GENERICDRV; \??\C:\Users\ADMINI~1\AppData\Local\Temp\pftAF85.tmp\amifldrv64.sys [X] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\ProgramData\hash.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC Desktop.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Windows\SendTo\YAC Desktop.lnk C:\Users\Public\Desktop\YAC Desktop.lnk Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Opuszczasz ten punkt i przechodzisz do punktu 5 (raporty na koncie KUBSON). Potem poproszę o zalogowanie na konto WIK i zrobienie na nim raportów z FRST, bo są pośrednie ślady infekcji również na tym koncie, a pełne dane będą dopiero po zrobieniu logów FRST z poziomu WIKa.