picasso

Temat zamykam i przenoszę do Windows. Nic tu nie wskazywało na problem infekcji, a ten odczyt z GMER, jak również BSODy podczas skanu o niczym nie świadczą. Komentarze na przyszłość: Ten wpis był widoczny w raporcie FRST: HKU\S-1-5-21-2636166986-2793565776-1311997650-1000\...\Policies\Explorer: [DisallowCpl] 1 vs. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl|1 (Malware.Trace) -> Data: @biocpl.dll,-1 -> Nie wykonano akcji. Wartość DisallowCpl, czyli ukrywanie rozszerzeń Panelu sterowania, mogła się pojawić na skutek ręcznych manipulacji lub używania jakiegoś tweakera, a nie z winy infekcji. Tu brak śladów, by to było związane z infekcją (ukryty Biometrics Control Panel). Był usuwany nie ten wpis Skype, tzn. odpowiedzialny za start Skype per se. Za aktualizacje odpowiada natomiast usługa Skype Updater niewidoczna domyślnie w raportach FRST (jest na białej liście) - dopiero po odznaczeniu Filtrowania by się pokazała. Wyłączenie usługi aktualizacji Skype w przystawce services.msc. Nikt tu już od dawna nie pracuje na raportach z OTL, przestarzałe narzędzie. Obecnie FRST zawiera skany i poprawki których nie uświadczysz w OTL.

Temat przenoszę do działu Windows, to nie infekcja. Błąd tworzy ten wpis startowy pozostawiony po bardzo starej instalacji G-Data: HKLM\...\Run: [GIS] => wscript c:\install\GIS2012\run-gd.js Przy okazji do usunięcia będą szczątki po aktualizacji systemu Windows 7 do Windows 10. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [GIS] => wscript c:\install\GIS2012\run-gd.js HKU\S-1-5-21-275134807-4007656991-3357232484-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> FF HKLM\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files\Hewlett-Packard\SmartPrint\QPExtension U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {0AA47632-AC16-40C3-A49B-755EACA1AAFA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {0BDA3FE3-C30A-48AE-9C66-10DF64CB5DF4} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {0C441505-A559-4155-BDAD-5162E4969434} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {1241A251-6404-48FB-ADFA-17398B0FF087} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {14519F66-39C2-43C2-A17A-882208DACF3D} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {1F9D19CC-836C-4CFF-9A86-555B3F8BCF9F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {262551B0-5265-4899-ACC4-ABBBBBAC4BEF} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {2A8269FE-5EB5-4D63-8ECE-7DB488F6A42F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {2AD29553-91F3-4175-9A7A-F29A7A2F8F03} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {315CE024-2C61-48E2-835C-BC6103D4663D} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {33F8E524-6B0D-457D-A961-CA6DF5E2A9E5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {3AAFF0BC-8261-4707-94C1-4B7148B68F54} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3B53446B-C4E1-461A-9A68-5CE6033F7286} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {3F16455D-1899-433F-AE82-519C2946EC91} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {453285F0-FEA0-4E00-9F27-D1C83586D43C} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {5343B1FC-57F1-42C0-B479-7A4E62114F66} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {646347CE-62C8-420B-9360-E780D20A49FC} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {66B3CA89-673E-4107-911E-B5E6ABD38578} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {6C5D2E43-E4B8-425A-BFD4-C6137BDE8709} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {705BDFD9-68F2-4686-AE82-31A56A872A91} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {7B9ACBEC-6AF9-4BE1-88A3-FBCD568C38DF} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {7D8F2194-E0BE-42DD-AF1A-F4629BB4A0A9} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {82B0FED8-ED46-4040-AB3C-DDA394FE5576} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {84645161-4E44-4B33-B37A-B6959618BC76} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9075E1D6-C139-4215-A9BC-FB79D74E010C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {9CA77139-72DB-42FD-8A5E-EF97D86AD251} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {A104AFFB-84EC-4807-A7DC-F9FDD540982F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A2D83881-CEAB-4735-91EF-E25971251786} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {CEEB3441-0E8F-41E0-8D5B-6488E68D8C44} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {CFF447BE-EAF3-4CA8-A462-BAD81BFF6110} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D43446F3-7F6D-41C9-A4F5-EFF8D621E75F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {D971592E-E91A-4D5E-9F98-3D0251C02349} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {ED9F0507-0367-42EF-B872-7B0C9B79595D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {EEDC66E2-46C9-40FC-B059-9B22802C0D0B} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F21E58DC-CCBB-429F-92B0-8B4263A2C139} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {F2EAD7EE-6EED-4120-B84C-867EC31917F3} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\G DATA RemoveDirectory: C:\install RemoveDirectory: C:\WINDOWS\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Programy wykrywają składnik cracka do Office. Jest jeszcze jeden element na poziomie Harmonogramu zadań. Akcja: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\WINDOWS\AutoKMS\AutoKMS.exe Task: C:\WINDOWS\Tasks\AVG-SSU_0516pi.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0516pi\AVG-Secure-Search-Update_0516pi.exe HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_18_0_0_209_pepper.exe -update pepperplugin AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-57989841-616249376-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> d:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] S1 bdftdif; \??\C:\Program Files\Lavasoft\Ad-Aware Antivirus\Firewall Engine\1.6.0.0\Drivers\bdftdif.sys [X] S3 LMouKE; System32\Drivers\LMouKE.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S2 StarOpen; Brak ImagePath DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0516pi C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Kamil\Dane aplikacji\TuneUp Software C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Excel\Funkcje%20Podstawy305296380869249902\Funkcje%20Podstawy.xlsx.lnk C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Excel\Funkcje%20dla%20Zaawansowanych305296420909380718\Funkcje%20dla%20Zaawansowanych.xlsx.lnk C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Excel\Funkcje%20dla%20Ekspertów305296492128203396\Funkcje%20dla%20Ekspertów.xlsx.lnk C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Excel\Wyszukiwanie305296513381550054\Wyszukiwanie.xlsx.lnk C:\WINDOWS\AutoKMS C:\WINDOWS\KMSEmulator.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Rozszerzenie 9004B to jest nowy wariant CryptXXX: KLIK / KLIK. Obecnie CryptXXX stosuje losowe rozszerzenia dla zaszyfrowanych plików. Odkodowanie tej wersji awykonalne... Zadany skrypt FRST nie adresował tego komponentu startowego infekcji: Startup: C:\Documents and Settings\Galon\Menu Start\Programy\Autostart\@F2596B8E6D73.lnk [1899-12-30] ShortcutTarget: @F2596B8E6D73.lnk -> C:\WINDOWS\system32\regsvr32.exe (Microsoft Corporation) Przedstaw plik Fixlog.txt dowodujący usunięcie pozostałych składników infekcji. Następnie zrób nowy skan FRST.

Satana szyfruje MBR oraz pliki na dysku: KLIK / KLIK. O ile MBR prawdopodobnie da się naprawić standardowymi procedurami Windows, to odkodowanie plików jest awykonalne. Jeśli chodzi o naprawę MBR, to możesz spróbować boot z DVD instalacyjnej Windows do środowiska RE: KLIK / KLIK. W Wierszu polecenia komendy: bootrec /FixMbr bootrec /FixBoot Jeśli to się uda, to Windows pomyślnie się uruchomi. Niestety problem zaszyfrowanych plików pozostanie i nie ma ratunku. Zaszyfrowane pliki można skopiować na dysk zewnętrzny na wszelki wypadek, a następnie sformatować dysk.

Nie zaznaczyłeś tej opcji w skanie. 1601-03-12 15:17 - 1601-03-12 15:17 - 0014193 _____ () C:\Documents and Settings\Janusz\Ustawienia lokalne\Dane aplikacji\!Recovery_4B9F54DAB497.html 1601-01-09 19:44 - 1601-01-09 19:44 - 0001758 _____ () C:\Documents and Settings\Janusz\Ustawienia lokalne\Dane aplikacji\!Recovery_4B9F54DAB497.txt Te pliki wskazują na infekcję CryptXXX / UltraCrypter: KLIK. Wspominasz, że dekrypter Trend Micro "odszyfrowuje", dlatego mnie interesuje czy na pewno te odkodowane zdjęcia są całe. Jeśli tak, to jakiś stary wariant CryptXXX Cię dopadł, bo najnowszy jest nie do odkodowania (tylko częściowe odkodowanie plików). A tak poza tym to temat nie jest ukończony. Jeśli nie decydujesz się na format (zalecane działanie po aktywności infekcji szyfrującej), to należałoby usunąć niebezpieczne stare wersje programów (jedna z przyczyn infekcji szyfrujących dane) oraz lewy skaner SpyHunter, a także doczyścić inne śmieci.

W raportach nie ma oznak czynnej infekcji, więc przyczyna objawów musi być inna. Na razie doczyść szczątki i śmieci: 1. Odinstaluj stare niebezpieczne wersje: Java™ 6 Update 10, QuickTime 7. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Profile 1 -> hxxp://www-searching.com/?pid=s&s=g6rzamobl11426br,5211bcfd-e537-47f0-b77f-34953afed435, CHR DefaultSearchURL: Profile 1 -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=g6rzamobl11426br,5211bcfd-e537-47f0-b77f-34953afed435, CHR DefaultSearchKeyword: Profile 1 -> www-searching.com CHR DefaultSuggestURL: Profile 1 -> hxxp://api.searchpredict.com/api/?rqtype=ffplugin&siteID=8661&dbCode=1&command={searchTerms} CHR HKU\S-1-5-21-931221518-1227756064-3671384185-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-931221518-1227756064-3671384185-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-931221518-1227756064-3671384185-1000\...\Run: [AdobeBridge] => [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin_160C => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin_B74 => ""="Service" S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-25] () S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S3 MBfilt; system32\drivers\MBfilt64.sys [X] S3 NTIOLib_1_0_3; \??\C:\Program Files (x86)\MSI\Super-Charger\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {1C6A45AB-3ADF-4D60-A745-C3523F5A5C6F} - System32\Tasks\Fisusy Schedule => C:\Program Files (x86)\Shociph\fisusyscheduleRetught.exe Task: {C1429CBB-EFBD-4E6C-95F2-E854A7010A87} - System32\Tasks\{F16DFFD6-4FAF-43B5-B079-15579A91D23D} => pcalua.exe -a C:\Users\dmk\Desktop\AUTODATA.3.24\AUTODATA.3.24.part01.exe -d C:\Users\dmk\Desktop\AUTODATA.3.24 Task: {CD5D659E-38CD-4F15-B79A-12CB4B0F5C1B} - System32\Tasks\{FACC5D5F-1E8B-471B-AC5A-86FB0BB5629C} => pcalua.exe -a C:\Users\dmk\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitComet DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR12 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DownloadAccelerator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlickrUploadr DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hmonitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zoner Photo Studio Autoupdate DisableService: PLAY INTERNET. RunOuc AlternateDataStreams: C:\Program Files\Common Files\System:egQwhn8jNrX6hoZrqimEHX [2104] AlternateDataStreams: C:\ProgramData\Microsoft:1dvveuj2uV2uiV8kTJ8nz6RJvc [2268] AlternateDataStreams: C:\ProgramData\Microsoft:DlWdg5jmydBNlPEQ3WVsU [2114] AlternateDataStreams: C:\ProgramData\Microsoft:mpsDZ4wc8OIhOsImsBbo4q8A [2066] AlternateDataStreams: C:\ProgramData\Microsoft:uk0UXxknS166OB8geyq4TKrS [2074] AlternateDataStreams: C:\Users\dmk\Ustawienia lokalne:ZPqEk0Frx8WPeMtlWNQAcTY3y [1962] AlternateDataStreams: C:\Users\dmk\AppData\Local:ZPqEk0Frx8WPeMtlWNQAcTY3y [1962] C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASGRAF C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\Pomoc do programu PP-Bilety.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety - informacja o programie.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety - szybki start.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety.lnk C:\Users\dmk\AppData\Local\{*} C:\Users\dmk\AppData\Local\deterghtperjispnernupy C:\Users\dmk\AppData\Roaming\*.* C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Easy Audio Copy C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flickr C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XVM FULL 5.2.1 conf by DjVirusPL 0.9.0 v3 C:\Users\dmk\Documents\Adobe\After Effects CS6\User Presets\(Adobe).lnk C:\Users\dmk\Dysk Google\Dopłaty\Dopaty 2015\miesiące\luty 2015\luty 2015_001 — skrót.lnk C:\Users\dmk\Dysk Google\Dopłaty\Dopaty 2015\miesiące\luty 2015\luty 2015_002 — skrót.lnk C:\Windows\System32\results.xml C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Drivers\etc\hp.bak CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustawienia > karta Ustawienia > sekcja Osoby > usuń drugi profil, o ile jest tam widoczny. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Przepraszam, nie wiem jak to się stało, że przeoczyłam ten link!? Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{14549E34-754B-4CE9-899E-66FA46EC631F}: [NameServer] 104.197.191.4 HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 Task: {3997FE43-F304-48D0-AFD9-7984A565C3AA} - \Siferckqersik Reports -> Brak pliku Task: {67DE1E14-DEBF-488B-B776-DD90B994CC54} - System32\Tasks\ttwifi => C:\Program Files (x86)\ttwifi\tiantianwifi.exe Task: {70C64021-E577-4B10-ADD2-2DE737BE4897} - System32\Tasks\Thaiphanumily Server => C:\Program Files (x86)\Helaphlwesp\thaiphanumilyserverAnoketanagusp.exe S2 thaiphanumilyserverKazijesother.exe; "C:\Program Files (x86)\Helaphlwesp\thaiphanumilyserverKazijesother.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\DriverPack Notifier C:\Program Files (x86)\Google C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\ProgramData\WindowsMsg C:\Users\Magda\AppData\Local\app C:\Users\Magda\AppData\Local\atubisgerfashzgotion C:\Users\Magda\AppData\Local\csdi_monetize_120160705 C:\Users\Magda\AppData\Local\Google C:\Users\Magda\AppData\Local\gromeychejakqpuing C:\Users\Magda\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Magda\AppData\Local\Opera Software C:\Users\Magda\AppData\Local\Tempfolder C:\Users\Magda\AppData\Local\tuto_monetize_120160705 C:\Users\Magda\AppData\Local\UCBrowser C:\Users\Magda\AppData\LocalLow\Company C:\Users\Magda\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Magda\AppData\Roaming\InstallationConfiguration.xml C:\Users\Magda\AppData\Roaming\Installer.dat C:\Users\Magda\AppData\Roaming\DriverPack Notifier C:\Users\Magda\AppData\Roaming\DRPNano C:\Users\Magda\AppData\Roaming\DRPSu C:\Users\Magda\AppData\Roaming\gplyra C:\Users\Magda\AppData\Roaming\Opera Software C:\Users\Magda\AppData\Roaming\Pecoa C:\Users\Magda\AppData\Roaming\UPUpdata C:\Users\Magda\AppData\Roaming\WuwtJufca C:\Windows\system32\Drivers\etc\hp.bak Folder: C:\Users\Magda\AppData\Local\Apps\2.0 CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile, następnie załóż całkowicie nowy i się na niego zaloguj. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj szczątek po deinstalacji Google Update Helper. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Log powinien był już bardzo krótki i zmieścić się w załączniku. Dołącz też plik fixlog.txt.

Widzę tu następujące problemy: - Różne obiekty adware. Tytułowy problem Chrome produkują polityki oprogramowania wprowadzone przez adware. Przypuszczanie załatwił Cię Asystent pobierania dobrychprogramów, gdyż w logu są ślady jego używania: KLIK. Prócz tego jeszcze wszystkie skróty Internet Explorer zostały zmodyfikowane i kierują na szkodliwy plik C:\iexplore.bat. - W Chrome masz zainstalowane niepożądane rozszerzenie Block Site marki wips.com, to w istocie spyware: KLIK. - Jest tu za dużo antywirusów, działają aktywnie Avast Premier + AVG, a na dokładkę zainstalowałeś lewy skaner wątpliwej reputacji SpyHunter. Nawiasem mówiąc, ostatnio AVG zostało przejęte przez ... Avast i dalszy los produktów AVG pod znakiem zapytania. Działania do przeprowadzenia: 1. Deinstalacje: - Poprzez Panel sterowania odinstaluj: AVG, Driver Booster 3.2, Host Service (adware), REACHit (niechciana instalacja Lenovo), SUPERAntiSpyware, SpyHunter 4, Surfing Protection. - Uruchom SpyHunterCleaner, niezależnie od tego czy deinstalacja normalną drogą się powiedzie. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń Metric Collection SDK (to jest ukryty komponent związany z Lenovo REACHit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Run: [Host Service] => wscript "C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service\launchall.js" HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-19\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Winlogon: [shell] C:\Windows\explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Policies\Explorer: [NoSetActiveDesktop] 0 HKU\S-1-5-21-3930219255-2695630370-772200818-1003\Software\Classes\.exe: exefile => HKLM\...\Policies\Explorer: [NoSetActiveDesktop] 0 R2 dofilter; C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service\nssm.exe [294912 2014-08-31] () [brak podpisu cyfrowego] S4 DigitalWave.Update.Service; "C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\app_updater.exe" [X] S3 esgiguard; Brak ImagePath S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {01DB1219-7A70-4790-8D9E-588A99A2F28B} - System32\Tasks\{2B42C124-E31D-4BB5-91AE-A7A82CB71379} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\AppData\Local\Temp\CM.Launcher.Win.exe Task: {358006E6-FA7A-42E4-85EC-D102558EE012} - System32\Tasks\{E1267E04-3C4D-4C06-8ACB-4713186CD098} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\fml-1.8-8.0.20.1023-1.8-installer-win.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {3BAAD2B8-D940-4F0F-8A45-33869D3C3539} - System32\Tasks\{C85FFAC0-4CDF-42AA-B6E2-5681D7741F85} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\forge-1.7.2-10.12.2.1147-installer-win.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {7CC14920-F7BA-46A4-8DA8-82E4A0519F2D} - System32\Tasks\Driver Booster SkipUAC (WIK) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {AA52C296-A2B7-4823-B0BA-1D2465C8BD99} - System32\Tasks\{D5F9E955-3851-4F68-813D-7900F2127C32} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\pbsetup.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {CF6691B6-A88B-4191-B2DB-58483A6F2F3A} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {E09A4144-B661-417A-B851-298386D2425A} - System32\Tasks\{55AED6AD-4BF0-4E34-AD1E-383941E873D2} => pcalua.exe -a "D:\downloads\(PC) Grand Theft Auto (GTA) San Andreas + Crack + Tradução PT-BR\gta_san_andreas_br[www.gamevicio.com.br].exe" -d "D:\downloads\(PC) Grand Theft Auto (GTA) San Andreas + Crack + Tradução PT-BR" Task: {EB0DDF75-A14B-4D27-AD6B-2664A0EDFA35} - System32\Tasks\{72DA1B69-F246-475D-B194-C10245A7C608} => pcalua.exe -a "C:\Program Files (x86)\CutThePrice\mTXKYT9Pf549CX.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {F20DF74A-0DD3-406A-BC9F-73CDC5D0DF77} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: [s-1-5-21-3930219255-2695630370-772200818-1003] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" --proxy-pac-url=hxxp://unstopp.me/wpad.dat?e244b4807981b978323017cc4e3076b54474197 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyComGames DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\iexplore.bat C:\Program Files (x86)\Avira C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Common Files\DVDVideoSoft C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service C:\Users\KUBSON.WIK-Komputer\AppData\Local\Lenovo C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\*.* C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Andy C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Apple Computer C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\DVDVideoSoft C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\GlarySoft C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\DiskDefrag C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\KUBSON.WIK-Komputer\Desktop\programy\DVDVideoSoft Free Studio.lnk C:\Users\KUBSON.WIK-Komputer\Downloads\*-dp*.exe C:\Users\KUBSON.WIK-Komputer\Downloads\Keygen_2.8.ace C:\Users\KUBSON.WIK-Komputer\Downloads\Setup Incl Crack.zip C:\Users\WIK\AppData\Local\LogMeIn Hamachi C:\Users\WIK\Start Menu\Programs\SpyHunter C:\Windows\Reimage.ini C:\Windows\system32\msln.exe C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Avira Browser Safety, Block site, Norton Identity Safe. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustawienia > karta Ustawienia > Osoby > pousuwaj wszystkie dodatkowe profile z wyjątkiem bieżącego. 4. Są w systemie dwa konta, czy konto WIK jest używane? Jeśli nie, usuń je poprzez Panel sterowania, potwierdzając usunięcie danych użytkownika z dysku. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

W raporcie nie ma żadnych oznak tej modyfikacji (Userinit).... Więc albo problem już rozwiązany, albo wystąpił jakiś błąd w skanie FRST. Ale owszem, są tu nadal komponenty adware. To nie jest problem powiązany z infekcją. Brakuje Ci w systemie bibliotek Visual C++ Redistributable for Visual Studio 2015 (wersja x86). Pod kątem czyszczenia z adware następujące działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {29DC2540-823C-4490-908D-42892F09908B} - System32\Tasks\Graputy Core => C:\Program Files\Woverkclerbch\graputycorejgutpule.exe [2016-07-06] () Task: {6F215DBB-8276-473D-A2F4-FD26C38F6F8B} - System32\Tasks\Pritc => C:\Users\LG\AppData\Local\Temp\00002019\casrss.exe Task: {A925A827-3B47-422F-B5DF-00BB402BCEE3} - System32\Tasks\ComputerZ-Tray => C:\Program Files\LuDaShi\ComputerZTray.exe S2 graputycorereevik.exe; C:\Program Files\Woverkclerbch\graputycorereevik.exe [720608 2016-07-06] () S3 ComputerZ; \??\C:\Program Files\LuDaShi\ComputerZ.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] NETSVC: HpSvc -> no filepath. HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction C:\Program Files\mpck C:\Program Files\Woverkclerbch C:\Program Files\{516D9F5A-D8E3-485A-838A-AE688ED07E5C} C:\Users\LG\AppData\Local\node-webkit C:\Users\LG\AppData\Local\Tempfolder C:\Users\LG\AppData\LocalLow\Company C:\Users\LG\AppData\LocalLow000D6730 C:\Users\LG\AppData\LocalLow00115B08 C:\Users\LG\AppData\LocalLow001D2A48 C:\Users\LG\AppData\LocalLow00212C98 C:\Users\LG\AppData\LocalLow002F6730 C:\Users\LG\AppData\LocalLow00391010 C:\Users\LG\AppData\LocalLow00390F48 C:\Users\LG\AppData\LocalLow00390E80 C:\Users\LG\AppData\LocalLow00390DA0 C:\Users\LG\AppData\LocalLow00342A48 C:\Users\LG\AppData\LocalLow003389B8 C:\Users\LG\AppData\LocalLow0036D0A0 C:\Users\LG\AppData\LocalLow00356730 C:\Users\LG\AppData\LocalLow004AA318 C:\Users\LG\AppData\Roaming\*.* C:\Users\LG\AppData\Roaming\Ezipduedg C:\Users\LG\AppData\Roaming\Kuaizip C:\Users\LG\AppData\Roaming\lockhomepage C:\Users\LG\AppData\Roaming\ludashi C:\Users\LG\AppData\Roaming\Softlink C:\Windows\system32\kz.exe C:\Windows\system32\Number of results C:\Windows\system32\xezs C:\Windows\system32\Drivers\64F7BC0E.sys C:\Windows\system32\Drivers\982D7CD0.sys C:\Windows\system32\Drivers\etc\hp.bak Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Jest na dysku zestaw profilów Firefox/Light. Jeden z profilów utworzyło adware GsearchFinder. Wykonaj kompleksowe czyszczenie profilów: Wyeksportuj z Light zakładki, o ile są dostępne. Zamknij Light. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files\Light\light.exe" -p Pousuwaj wszystkie profile, następnie załóż całkowicie nowy. I nie instaluj już rozszerzenia Quick Local Switcher. Powody: KLIK. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\LG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Brakuje głównego raportu FRST.txt, proszę uzupełnij. Już po Addition widać, że będą do wdrożenia poprawki. Raporty FRST nie pomogą zdiagnozować precyzyjnie tego problemu, gdyż tyczą tylko systemu Windows. Objawy na tablecie mogą sugerować jedno z dwóch: albo jest infekcja sieci do której tablet został wpięty, albo na tablecie zainstalowała się jakaś niepożądana aplikacja. Wstępnie na tablecie sprawdź wykaz zainstalowanych aplikacji, przejdź na tryb Safe mode urządzenia i wyeliminuj wszystkie nieznane / nierozpoznawane aplikacje. W przypadku braku rezultatów klaruje się reset urządzeń do ustawień fabrycznych.

Problemem jest szkodliwe proxy: AutoConfigURL: [s-1-5-21-633836772-2943853817-3888398784-1177] => hxxp://un-stop.info/wpad.dat?08aa67c1445446be3ce71dde23aa705311644551 ManualProxies: 0hxxp://un-stop.info/wpad.dat?08aa67c1445446be3ce71dde23aa705311644551 Jeden z wpisów jest po stronie konta, ale drugi globalny. Nie jest wykluczone, że komendę resetu ustawień proxy trzeba będzie powtórzyć dwa razy, na limitowanym + na administratorze, ze względu na ograniczenia konta limitowanego. Na razie podejście na koncie limitowanym: 1. Otwórz Notatnik i wklej w nim: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat założony w niewłaściwym dziale. Przenoszę. Brak jakichkolwiek obowiązkowych tu danych. Dostarcz raporty z FRST.

To nie jest problem infekcji. Temat przenoszę do działu Sieci. Tu podejrzenia budzą programy zabezpieczające, czyli pakiet 360 Total Security i/lub zapora GlassWire. Skoro proste wyłączanie nie ma widocznych efektów, na próbę odinstaluj po jednym programie na raz, by sprawdzić jakie to przyniesie skutki. PS. A jeśli chodzi o "kosmetykę" poprawki w spoilerze:

Hmm, w raportach FRST nie widać jawnie tej modyfikacji... Jakie ikony i gdzie zlokalizowane? To wygląda na obiekt Mail.Ru, co dopiero zainstalowany. Ale zagnieżdżenie się Mail.Ru prawdopodobnie jest powiązane z tym ruskim programem do aktualizacji sterowników: DriverPack Notifier (HKLM-x32\...\DriverPack Notifier) (Version: 2.0.3 - DriverPack Solution) HKLM-x32\...\Run: [DriverPack Notifier] => C:\Program Files (x86)\DriverPack Notifier\DriverPackNotifier.exe [258560 2015-12-18] () W systemie działa niepożądany program ByteFence Anti-Malware. Czyli wstępnie do usunięcia to co widać w raportach (niepożądane programy i obiekty na dysku oraz puste wpisy po aktualizacji z Windows 7 oraz puste skróty). Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: - Adware/PUP: Amazon Assistant, AVG Web TuneUp, Booking.com version 1.1.0.5019, ByteFence Anti-Malware, UmmyVideoDownloader. Sugeruję też wywalić DriverPack Notifier. - Stare niebezpieczne wersje: Apple Software Update, Obsługa programów Apple, QuickTime 7. Krytyczna luka w QuickTime, nie zostanie to już naprawione, Apple zlikwidowało wsparcie dla Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{67F0F069-108B-4A8B-85DD-3CD0825E7F5B}: [DhcpNameServer] 7.254.254.254 CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ HKU\S-1-5-21-2239338972-1551992166-3321489046-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013 SearchScopes: HKU\S-1-5-21-2239338972-1551992166-3321489046-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BAF79B743-4B87-41DB-8625-3D9FDDCD09B8%7D&gp=811014 SearchScopes: HKU\S-1-5-21-2239338972-1551992166-3321489046-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={899E28AD-EA21-4714-8C12-20A489295FE3}&mid=e17a99b0360f47ccbcce0119df8f5d75-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=en&ds=AVG&coid=avgtbavg&cmpid=0516tb&pr=fr&d=2016-04-11 17:00:30&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-2239338972-1551992166-3321489046-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BAF79B743-4B87-41DB-8625-3D9FDDCD09B8%7D&gp=811014 BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\nowy\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-07-07] S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-20] (电脑管家) Task: {077EA9CC-ACC3-401C-9963-BBED6A5DEA6B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {09EE72F6-6E8F-42AB-B85E-998C2F77552B} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {10F70484-57C6-44D7-BC81-1A8244DC4857} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {228B07F1-A117-4BE0-9513-678511A9581C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {3066F3EB-AC1F-44C3-B5A9-F7F9D28008E0} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {446129A1-A481-4B11-BA06-5E59844127D4} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {48E73E6F-C346-4E40-8D44-1E5803DC3C46} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4BE776B4-1D85-44DA-AEAD-ADAB1D67F725} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {4EE37228-CE37-4D1E-9CD3-D8F8AB4CA935} - System32\Tasks\Booking_helper => C:\PROGRA~2\Booking.com\BOOKIN~2.EXE Task: {57C39656-424C-4DA3-9900-B54F740C2BCC} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {5BBCF3E0-3468-47C0-ADF3-9DD367724FC6} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {67E26006-8A4A-4DB2-9BCC-73289E2CF5DE} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {6DE98B1F-132C-4465-A5CA-A0B6B8BE51E4} - System32\Tasks\syslog => C:\Users\nowy\AppData\Local\syslog\syslog.exe <==== UWAGA Task: {7B0569FE-FD0D-46D5-B075-0D45A41FB597} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {7B4AA29B-8195-4C72-8AC0-5DB3C6008881} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {8348C5F0-D2B9-4A66-B635-1C8ED66B00F1} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {851A1C4E-A679-4EB7-B96F-BD680E3D5163} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {8E2B22C5-A1B0-4840-9A6E-38E6C31F1D18} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {AE9871FE-461E-421F-BA7F-AEA3DC0C5ACE} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {BDEF2B3F-2630-4E64-950F-4BC5045B9478} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {D177C1BD-74EE-4973-9C4A-82011C810B58} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {D75ACE74-2C39-47BA-9C48-485D2F2BC545} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {E133FDB2-1E82-4501-A6B3-A77AE927763A} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {F1A1AED4-7752-4C3B-9A67-40E8FDA493B7} - System32\Tasks\{4AEEFC02-FEDC-4FFE-8EF8-8A1059C9302E} => pcalua.exe -a C:\WINDOWS\SysWOW64\ZALSDK_uninst\unins000.exe Task: {F9EDCDF9-FBAB-4D49-8A37-9FD4A764C47D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {FD608AF1-8209-495B-A6EE-6E379308E44D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\Booking_helper.job => C:\PROGRA~2\Booking.com\BOOKIN~2.EXE U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MpsSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\rtop DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Apple DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\prefs.js C:\Program Files (x86)\ContentPush C:\Program Files (x86)\Phtawardgaely C:\Program Files (x86)\WeatherChickn C:\ProgramData\mntemp C:\ProgramData\moshou_gl_010.exe C:\ProgramData\ppzip_3987.exe C:\ProgramData\Mail.Ru C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Booking.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Need for Speed - Rivals\Play Need for Speed - Rivals (x32).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Need for Speed - Rivals\Play Need for Speed - Rivals (x64).lnk C:\Users\nowy\AppData\Local\Gejelekagied C:\Users\nowy\AppData\Local\Mail.Ru C:\Users\nowy\AppData\Local\syslog C:\Users\nowy\AppData\Local\Поиcк в Интeрнете C:\Users\nowy\AppData\Roaming\agent.dat C:\Users\nowy\AppData\Roaming\GiftBag.db C:\Users\nowy\AppData\Roaming\Installer.dat C:\Users\nowy\AppData\Roaming\Main.dat C:\Users\nowy\AppData\Roaming\Daexsys C:\Users\nowy\AppData\Roaming\MailProducts C:\Users\nowy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk C:\Users\nowy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\nowy\Desktop\Искать в Интернете.url C:\Users\nowy\Desktop\Gry\GTA San Andreas.lnk C:\Users\nowy\Desktop\Gry\Need for Speed - Rivals (x64).lnk C:\Users\nowy\Desktop\Gry\NFS14 — skrót.lnk C:\Users\nowy\Desktop\Gry\NFS14_x86 — skrót.lnk C:\Users\nowy\Desktop\Gry\Outlast.lnk C:\Users\nowy\Favorites\Mail.Ru Агент - используй для общения!.url C:\Users\nowy\Favorites\Mail.Ru.url C:\Windows\ehome C:\Windows\System32\drivers\tsskx64.sys C:\Windows\System32\Tasks\Apple C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: sc config MpsSvc start= auto CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w Google Chrome.

Temat przenoszę do działu Windows. To konto utworzone przez ESET Smart Security. Dużo podobnych tematów na forum, np.: KLIK. PS. Kosmetyczne akcje poboczne w spoilerze:

Na logach z przestarzałego OTL (usuwam) to w ogóle tu się już nie pracuje od ponad dwóch lat. Obowiązkowe logi to teraz FRST. Ale one raczej nic nie wniosą do sprawy. A zachowanie usługi aktualizacji niestety wygląda "normalnie", obciążenie będzie mieć miejsce dopóki nie ukończy się proces aktualizacji. Od końca roku 2015 nastąpiły zmiany w systemie Windows Update, wyszukiwanie trwa znacznie dłużej na starych systemach (Windows 7 i Vista). Podobne tematy: KLIK, KLIK, KLIK.

Ten skrypt FRST, który sam stworzyłeś, całkowicie błędny. Linie zainstalowanych programów są nieprzetwarzalne w skryptach, co jest wyraźnie w logu zaznaczone: "W fixlist dozwolone tylko załączanie programów adware z flagą "Hidden" w celu ich uwidocznienia. Programy adware powinny zostać w poprawny sposób odinstalowane". A usuwanie kwarantanny FRST podczas gdy nic nie było usuwane bez sensu. I ogólnie problem infekcji adware jest tu zbyt złożony, by dało się to załatwić tylko skryptem FRST. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj adware groover, mpck version 1.1, SafeFinder, shopperz, trotux - Uninstall oraz antywirus Microsoft Security Essentials (brak wsparcia dla XP, od ponad roku nie aktualizuje już definicji na XP). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: R2 dowidoly; C:\Program Files\Win32_ComputerSystemProduct-1467283879---\jnsj30B.tmp [244224 2016-06-30] () [brak podpisu cyfrowego] R2 Lamzap; C:\Documents and Settings\All Users\Dane aplikacji\\Lamzap\\Lamzap.exe [956416 2016-06-30] () [brak podpisu cyfrowego] R2 rijufoze; C:\Program Files\Win32_ComputerSystemProduct-1467283879---\hnsz311.tmp [138240 2016-06-30] () [brak podpisu cyfrowego] R2 wogisihizbt; C:\Program Files\Win32_ComputerSystemProduct-1467283879---\knsm1F3.tmp [229888 2016-07-07] () [brak podpisu cyfrowego] R2 zigipyro; C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467922800-154A-A7B9-E28B593A609D\qnsx27F.tmp [158720 2015-12-26] () [brak podpisu cyfrowego] AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lamzap\Lexiplus.dll => C:\Documents and Settings\All Users\Dane aplikacji\Lamzap\Lexiplus.dll [257536 2016-06-30] () Task: C:\WINDOWS\Tasks\Magetytofish Client.job => C:\Program Files\Atubotckipi\MagetytofishclnFerkilesawaward.exe Task: C:\WINDOWS\Tasks\Manager.job => C:\Documents and Settings\Paweł\Dane aplikacji\Adobe\Manager.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe HKLM\...\Run: [] => [X] HKLM\...\RunOnce: [update] => C:\Documents and Settings\Paweł\Dane aplikacji\ASPackage\ASPackage.exe /runonce HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1547161642-261478967-1801674531-1003\...\Run: [svchost0] => C:\Program Files\UCBrowser\Application\UUC0789.exe HKU\S-1-5-21-1547161642-261478967-1801674531-1003\...\Run: [apphide2] => C:\Program Files\badu\uc.exe HKU\S-1-5-21-1547161642-261478967-1801674531-1003\...\MountPoints2: {0aa184c1-476e-11e5-af6a-001d601423bb} - G:\AutoRun.exe HKU\S-1-5-21-1547161642-261478967-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=131122773446406250&GUID=226AF64F-431A-4AFC-83F4-532F433AC592 SearchScopes: HKLM -> DefaultScope - brak wartości FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension ShortcutWithArgument: C:\Documents and Settings\Paweł\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\DOCUME~1\PAWE~1\USTAWI~1\DANEAP~1\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Documents and Settings\Paweł\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\DOCUME~1\PAWE~1\USTAWI~1\DANEAP~1\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Documents and Settings\Paweł\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\DOCUME~1\PAWE~1\USTAWI~1\DANEAP~1\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-1547161642-261478967-1801674531-1004\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-1547161642-261478967-1801674531-1004\Software\Microsoft\Internet Explorer\SearchScopes AlternateDataStreams: C:\Documents and Settings\Paweł:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\All Users\Szablony:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\desktop.ini:gs5sys [2816] AlternateDataStreams: C:\Documents and Settings\Paweł\Cookies:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\Paweł\Pulpit:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\Paweł\Szablony:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\Paweł\Dane aplikacji\desktop.ini:gs5sys [2560] AlternateDataStreams: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji:gs5sys [2560] AlternateDataStreams: C:\Documents and Settings\Paweł\Ustawienia lokalne\Historia:gs5sys [2560] AlternateDataStreams: C:\Documents and Settings\Paweł\Moje dokumenty\desktop.ini:gs5sys [2560] C:\Documents and Settings\All Users\Dane aplikacji\Lamzap C:\Documents and Settings\All Users\Dane aplikacji\IObit C:\Documents and Settings\All Users\Dane aplikacji\ProductData C:\Documents and Settings\LocalService\Dane aplikacji\Mozilla C:\Documents and Settings\LocalService\IETldCache C:\Documents and Settings\Paweł\Dane aplikacji\*.* C:\Documents and Settings\Paweł\Dane aplikacji\Adobe\Manager.exe C:\Documents and Settings\Paweł\Dane aplikacji\IObit C:\Documents and Settings\Paweł\Dane aplikacji\UPUpdata C:\Documents and Settings\Paweł\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk C:\Documents and Settings\Paweł\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk C:\Documents and Settings\Paweł\Menu Start\Programy\Internet Explorer.lnk C:\Documents and Settings\Paweł\Menu Start\Programy\Aplikacje Chrome\Ad.Block Plus.lnk C:\Documents and Settings\Paweł\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk C:\Documents and Settings\Paweł\Menu Start\Programy\UC浏览器.lnk C:\Documents and Settings\Paweł\Menu Start\Programy\UC浏览器 C:\Documents and Settings\Paweł\Pulpit\Nowy folder\Program uruchamiający aplikacje Chrome.lnk C:\Documents and Settings\Paweł\Pulpit\Nowy folder\pulpit syf\Google Chrome.lnk C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\file__0.localstorage C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467292092-154A-A7B9-E28B593A609D C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467295254-154A-A7B9-E28B593A609D C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467891255-154A-A7B9-E28B593A609D C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467922800-154A-A7B9-E28B593A609D C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\fjientfagetherdrimo C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\kemgadeojglibflomicgnfeopkdfflnk C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\tuto_monetize_120160630 C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\UCBrowser C:\Documents and Settings\UpdatusUser\IETldCache C:\Program Files\Atubotckipi C:\Program Files\Jeicsetpa C:\Program Files\JeicsetpaUn C:\Program Files\mpck C:\Program Files\Sohmibr C:\Program Files\SohmibrUn C:\Program Files\UCBrowser C:\Program Files\Win32_ComputerSystemProduct-1467283879--- C:\Program Files\Common Files\Restrong C:\WINDOWS\IObit C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\etc\hp.bak CMD: netsh firewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: W raporcie adware GsearchFinder, które wstawia fałszywy profil Firefox. Wykonaj kompleksowe czyszczenie Firefox: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile z wyjątkiem właściwego. Następnie zaloguj się na właściwy i go też wyczyść: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Plus, Fast search v3.5. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

Blokadą są same sterowniki per se, które zabezpieczają własne komponenty, filtry nie mają tu nic do rzeczy. FRST nie usunie tych sterowników, gdyż nie działa na poziomie kernel (nie ma własnego sterownika). Oporne sterowniki zostaną usunięte z poziomu środowiska zewnętrznego. Przy okazji jeszcze różne puste skróty po usuniętych programach. 1. Otwórz Notatnik i wklej w nim: R0 MPCBase; C:\Windows\System32\drivers\MPCBase.sys [29032 2016-07-07] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [52968 2016-07-07] (DotC United Inc) S2 AdobeARMservice; "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\*Torrent.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super DVD Ripper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StreamTransport\Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PES6J Launcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\GeForce Experience.lnk C:\Users\Człowiek11\AppData\Roaming\Microsoft\Windows\Start Menu\Uninstall Programs.lnk C:\Users\Człowiek11\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*Torrent.lnk C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015 Editor.lnk C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015 Resource Archiver.lnk C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015.lnk C:\Users\Człowiek11\Desktop\Gry\PIT Format 2014.lnk C:\Users\Człowiek11\Desktop\Gry\Pro Evolution Soccer 6.lnk C:\Users\Człowiek11\Desktop\Nowy folder (2)\Kaspersky Internet Security.lnk C:\Users\Człowiek11\Desktop\Nowy folder (2)\Safe Money.lnk C:\Users\Człowiek11\Desktop\Nowy folder (2)\µTorrent.lnk C:\Users\Człowiek11\Desktop\Programy\DAEMON Tools Pro.lnk C:\Users\Człowiek11\Desktop\Programy\DocuFreezer.lnk C:\Users\Człowiek11\Desktop\Programy\Kaspersky Anti-Virus.lnk C:\Windows\System32\drivers\MPCBase.sys C:\Windows\System32\drivers\MPCKpt.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST umieść na pndrive. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Kliknij w Napraw (Fix). Na pendrive powstanie plik fixlog.txt. 2. Zaloguj się z powrotem do Windows. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{cb4c77f0-ab2a-407c-93ac-963769824b18}\localserver32 -> C:\Users\CZOWIE~1\AppData\Local\Temp\{b3ede298-ae75-4a1c-ab7e-1b9229b77bbe}\IDriver.NonElevated.exe (dane wartości zawierają 13 znaków więcej). Task: {1C163BB2-F61E-42DA-9A3F-023F7CCFBA92} - System32\Tasks\{5753477E-42BF-4565-BB15-5BD960CF03E7} => K:\Install.exe Task: {89E24557-ADD5-4103-940C-2F26A76BFA71} - System32\Tasks\{F7034FAB-0E05-4F25-B9FD-112BF35C6664} => K:\Install.exe Task: {A7B37647-A1CB-4071-AF02-3D0A7429091D} - System32\Tasks\{86DD9D89-231C-4B13-9285-0EEFE32E3191} => K:\Install.exe Task: {B667C6D8-F35D-4393-A9D3-3FFEA7F4B04D} - System32\Tasks\Process Explorer-Komputer1-Człowiek11 => C:\USERS\CZłOWIEK11\DESKTOP\PROCEXP.EXE Task: {BAFCC9AC-CA1C-41E6-9D33-D886A74BF712} - System32\Tasks\{2F19E7D3-190D-49A9-AE9D-41821890CABC} => D:\Pobrane\Word 2003 Portable\Word 2003 Portable\Microsoft Office Word 2003.exe Task: {C1FEC88A-B9EF-437F-849E-216000AA2185} - System32\Tasks\{21C40001-BB28-4922-99D0-C9A5FEE11C90} => K:\Install.exe Task: {C57FEA9D-85EF-42AA-A43B-121BF8704AF1} - System32\Tasks\Uninstaller_SkipUac_Człowiek11 => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {C6427866-D782-4A14-827B-22EA3BFB15FF} - System32\Tasks\{E21A7E4C-85A7-446B-B05A-0D9BEBF57B8E} => K:\Install.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W raporcie było adware GsearchFinder, które wstawia fałszywy profil Firefox. Wykonaj kompleksowe czyszczenie Firefox: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "D:\Program Files\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile z wyjątkiem właściwego. Następnie zaloguj się na właściwy i go też wyczyść: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition. Dołącz też oba pliki fixlog.txt.

Skrypt FRST pomyślnie wykonany. Natomiast SFC nie podołał zadaniu, nie jest w stanie naprawić uszkodzonego pliku: 2016-06-20 18:03:33, Info CSI 00003846 [SR] Cannot repair member file [l:11]"winhttp.dll" of Microsoft.Windows.WinHTTP, version 5.1.10586.420, arch x86, nonSxS, pkt {l:8 b:31bf3856ad364e35} in the store, hash mismatch 2016-06-20 18:03:33, Info CSI 00003849 [SR] Unable to repair \SystemRoot\WinSxS\x86_microsoft.windows.winhttp_31bf3856ad364e35_5.1.10586.420_none_8cfec9a9847b23ae\\[l:11]"winhttp.dll" 2016-06-20 18:03:33, Info CSI 0000384a [SR] Repaired file \SystemRoot\WinSxS\x86_microsoft.windows.winhttp_31bf3856ad364e35_5.1.10586.420_none_8cfec9a9847b23ae\\[l:11]"winhttp.dll" by copying from backup 2016-06-20 18:03:33, Info CSI 0000384c [SR] Cannot repair member file [l:11]"winhttp.dll" of Microsoft.Windows.WinHTTP, version 5.1.10586.420, arch x86, nonSxS, pkt {l:8 b:31bf3856ad364e35} in the store, file is missing 2016-06-20 18:03:33, Info CSI 0000384d [SR] This component was referenced by [l:77]"Package_381_for_KB3163018~31bf3856ad364e35~x86~~10.0.1.2.3163018-1167_neutral" 2016-06-20 18:03:33, Info CSI 0000384f [SR] Could not reproject corrupted file [l:23 ml:24]"\??\C:\Windows\System32"\[l:11]"winhttp.dll"; source file in store is also corrupted Na początek podaj mi spis kopii pliku. Uruchom FRST w polu Szukaj wklej winhttp.dll i klik w Szukaj plików.

W raportach nie ma żadnych oznak, by zagnieździła się infekcja.

Kolejna porcja czynności: Z POZIOMU ŚRODOWISKA ZEWNĘTRZNEGO: 1. Otwórz Notatnik i wklej w nim: R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-06-27] (DotC United Inc) R2 WifiSrv; C:\Program Files (x86)\Wifisrv\WifiService.exe [219392 2015-12-16] () R1 160WifiNetPro; C:\Program Files (x86)\Wifisrv\160WifiNetPro64.sys [129784 2015-12-16] () R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-06-27] (DotC United Inc) R0 wifinetmini; C:\Windows\System32\wifinetmini64.sys [16624 2015-12-02] () C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\Wifisrv C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\160WiFi C:\ProgramData\UniqueId C:\ProgramData\Microsoft\Windows\Start Menu\Programs\160WiFi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\R\AppData\Roaming\*.* C:\Users\R\AppData\Roaming\MCorp C:\Users\R\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\160WiFi.lnk C:\Users\R\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk C:\Windows\system32\fis C:\Windows\system32\wifinetinit64.dll C:\Windows\system32\wifinetmini64.sys C:\Windows\system32\Drivers\MPCKpt.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST umieść na pndrive. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Kliknij w Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Z POZIOMU WINDOWS: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2593204490-2210076326-4199956363-1001\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-2593204490-2210076326-4199956363-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-2593204490-2210076326-4199956363-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-2593204490-2210076326-4199956363-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) Task: {7F19FE09-C49B-44F2-B7C6-5FD6FC703924} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {9F3E5341-EF79-41B8-9E6A-9124B9588D69} - System32\Tasks\AutoPico Daily Restart => C:\Program Task: {E67C8417-233B-4138-9DC6-E0A618FF0369} - System32\Tasks\Driver Booster SkipUAC ® => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: netsh advfirewall reset RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\R\Desktop\Stare dane programu Firefox EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wprawdzie są ślady czyszczenia profilu Firefox, ale już zdążyły wskoczyć w nim preferencje MPC. Ponownie: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też oba pliki fixlog.txt.

To nadal aktualne: Na podstawie nowych raportów będzie doczyszczanie tego co pozostało. MPC Cleaner prawdopodobnie trzeba będzie usuwać z poziomu środowiska zewnętrznego RE, bo rzeczywiście w Twoim przypadku nie widzę obecnie w jego folderze deinstalatora.

1. Sprawdź więc drugi folder. Dodatkowo, poprzednio się śpieszyłam i przeoczyłam, że jest więcej niepożądanych programów aktywnych. Czyli wejdź do poniższych folderów i szukaj deinstalatorów: C:\Program Files (x86)\mpck C:\Program Files (x86)\USBBoxLite C:\Program Files (x86)\Wifisrv Co najmniej jeden ma deinstalator, widać go w pliku Shortcut.txt: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\160WiFi\卸载160WiFi.lnk -> C:\Program Files (x86)\Wifisrv\Uninstall.exe (深圳市驱动人生软件技术有限公司) Na znalezione deinstalatory z prawokliku "Uruchom jako administrator" i zresetuj system. 2. W przypadku niepowodzenia poproszę o listę co jest w tych folderach. Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\mpck Folder: C:\Program Files (x86)\MPC Cleaner Folder: C:\Program Files (x86)\USBBoxLite Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Od dawna na forum jest używany bardzo prosty sposób. Należy ten program po prostu odinstalować w normalny sposób. Czyli: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, z prawokliku na plik deinstalatora "Uruchom jako administrator". Zresetuj system. Ta procedura powinna zlikwidować wszystkie aktywne sterowniki i większość elementów programu. 2. W raporcie było adware GsearchFinder, które wstawia fałszywy profil Firefox. Na razie to tu było powierzchowne usuwanie tego co widać w logu. Wykonaj kompleksowe czyszczenie Firefox: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile z wyjątkiem właściwego. Następnie zaloguj się na właściwy i go też wyczyść: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition.