picasso

Dokładnie jak podejrzewałam, poprzedni raport był nieaktualny. Obecny przedstawia tylko dwa wykryte klucze odpadkowe po adware. Usuń oczywiście za pomocą programu. Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do wykonania kompletna aktualizacja systemu z Windows Update - stan fatalny i brak mnóstwa aktualizacji (SP1, IE11 i inne łaty). Do pobrania z Windows Update będzie około kilkaset pozycji... Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Ale wyraźnie mówisz o infekcji routera, co nie ma związku z "wchodzeniem na strony". Jaki model routera tu jest? Czy w konfiguracji zmieniłeś hasło oraz zamknąłeś panel zarządzania przed dostępem z internetu? W raporcie z systemu nie ma już śladów infekcji routera, wszystkie adresy pobierane z routera oraz te ustawione po stronie Windows zostały ręcznie ustawione na Google: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{42ED43F9-E5AF-4F17-B963-B3CD6C7E6AD3}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{42ED43F9-E5AF-4F17-B963-B3CD6C7E6AD3}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tak więc jedyne co z poziomu tego systemu mogę wyczyścić to cache DNS i przeglądarek. Oczywiście akcja nie dotyczy innych urządzeń jak telefony. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3998598826-476162460-4090119972-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne. ==================== Dyski ================================ Drive c: () (Fixed) (Total:49.21 GB) (Free:1.7 GB) NTFS Drive d: () (Fixed) (Total:649.33 GB) (Free:91.4 GB) NTFS Istotnie, marnie to wygląda. Nawet jeśli programy instalujesz na innym dysku niż C, masa ustawień programów i tak idzie na C do katalogów Appdata / Programdata i nie da się tego zmienić w prosty sposób. Przykładowy temat w którym o tym mówiłam: KLIK. Do analizy miejsca na dysku skorzystaj z programu SpaceSniffer. Z prawokliku "Uruchom jako Administrator", by obliczył takie sfery jak "System Volume Information" od Przywracania systemu. Analizę wykonaj po użyciu skryptu FRST czyszczącego Tempy, co może zmienić nieco statystyki.

SpyHunter to wątpliwy program, z daleka od tego śmiecia. Jeśli chodzi o problem reklam w Google Chrome, to nie widzę w raporcie nic oczywistego, tylko proxy choć nie wygląda na aktywne. Aczkolwiek zastanowiło mnie poniższe rozszerzenie, nie zostało zainstalowane z Chrome Web Store (a na dysku widać kombinacje z plikami *.crx). Skąd to rozszerzenie było pobieranie? CHR Extension: (__MSG_extName__) - C:\Users\Pawcio\Desktop\YouTube Video Downloader [2015-04-20] Druga sprawa, Twój opis mówi, że komputer był analizowany przez policję, co nasuwa wnioski, że był wpinany w obcą sieć. I to ta sieć mogła działać pod zainfekowanym routerem. Tu są ślady takich akcji, dla jednego z interfejsów sieciowych (nie wygląda na bieżący) poniższy adres IP pobrany z routera jest holenderski: Tcpip\..\Interfaces\{F38D35B3-1007-4AF3-8C5B-80528E104E78}: [DhcpNameServer] 192.168.2.254 195.241.77.55 195.241.77.58 Takie wpinanie w obcą zainfekowaną sieć skutkuje nagraniem w cache DNS i przeglądarki rekordów, które nadal mogą tworzyć przekierowania pomimo wypięcia z tej sieci. Na razie więc zadam czyszczenie tych miejsc oraz drobne inne poprawki na odpadkowe wpisy czy puste skróty. Akcja: 1. Odinstaluj zbędny Akamai NetSession Interface oraz nieszczęsny SpyHunter. W przypadku problemów z deinstalacją SpyHunter skorzystaj z narzędzia SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{F38D35B3-1007-4AF3-8C5B-80528E104E78}: [DhcpNameServer] 192.168.2.254 195.241.77.55 195.241.77.58 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Toolbar: HKU\S-1-5-21-813231136-3034751300-3063813572-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Task: {28CCD7EE-E50D-426D-906D-1F3B263E432C} - System32\Tasks\{A131E369-C11D-4D0A-A8B3-015754C55CB9} => C:\Program Files (x86)\Paradox Interactive\Magicka Collection\Magicka.exe Task: {3D4EBCD5-2326-497F-B732-8CCCE8979E16} - System32\Tasks\{7049C365-1DEC-4D03-9ADF-B5BD1078A707} => C:\Program Files (x86)\Paradox Interactive\Magicka Collection\Magicka.exe Task: {5B8571F1-5D3F-4C14-ACB8-4C127BB740D7} - System32\Tasks\{B004C783-65C7-4804-B6CD-CE4DFF0639C6} => C:\Program Files (x86)\AMPLITUDE Studios\Dungeon of the Endless\DungeonoftheEndless.exe Task: {5DA32748-1081-4FC6-92D0-3EDB0DABD24C} - System32\Tasks\{511A298B-A7E8-4D15-9F6E-8D4946FFAAA2} => C:\Program Files (x86)\AMPLITUDE Studios\Dungeon of the Endless\DungeonoftheEndless.exe Task: {60CD62AF-33C4-4686-8B40-94D3EAA78DB3} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {824BF464-C04B-4897-B184-DA326B3C9DF1} - System32\Tasks\{8521DC72-C63A-4E87-9D34-03C10E758538} => C:\Program Files (x86)\AMPLITUDE Studios\Dungeon of the Endless\DungeonoftheEndless.exe Task: {A34DADE0-6839-4717-8FB9-3E7FD286D57A} - System32\Tasks\{B8F19CEE-4233-444E-B0D7-D50A27BB66F3} => pcalua.exe -a "C:\old pc game\Painkiller Black Edition (E)\Painkiller Black Edition (E)\setup.exe" -d "C:\old pc game\Painkiller Black Edition (E)\Painkiller Black Edition (E)" Task: {F5BF39EB-CF82-419D-9AAD-1A99358347DF} - System32\Tasks\{E6FEF514-5CA7-48F0-8494-1B7DC84AA245} => pcalua.exe -a "E:\MicroSoft Office 2007 With Key by [TORRENTMAFIA.IN]\setup.exe" -d "E:\MicroSoft Office 2007 With Key by [TORRENTMAFIA.IN]" Task: {FEFD471E-C773-4072-A8DC-975347D72F51} - System32\Tasks\{AD38D9DF-0AD2-4F2C-92BD-E0499808A474} => pcalua.exe -a "C:\Program Files (x86)\Paradox Interactive\Magicka Collection\Dependencies\dotnetfx35.exe" -d "C:\Program Files (x86)\Paradox Interactive\Magicka Collection\Dependencies" Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe S4 NVHDA; system32\drivers\nvhda64v.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] S3 xspirit; \??\C:\Windows\xspirit.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface C:\Users\Pawcio\AppData\Local\Avg C:\Users\Pawcio\AppData\Local\AvgSetupLog C:\Program Files\Emsisoft Anti-Malware C:\Program Files (x86)\AVG C:\Program Files (x86)\Malwarebytes Anti-Malware C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Emsisoft C:\ProgramData\Malwarebytes C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spore C:\Users\Pawcio\Doctor Web C:\Users\Pawcio\AppData\Local\MFAData C:\Users\Pawcio\AppData\Roaming\installe.exe C:\Users\Pawcio\AppData\Roaming\TuneUp Software C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Painkiller.lnk C:\Users\Pawcio\Desktop\G\Bionic Dues.lnk C:\Users\Pawcio\Desktop\G\Command and Conquer - Generals Zero Hour.lnk C:\Users\Pawcio\Desktop\G\Command and Conquer - Generals.lnk C:\Users\Pawcio\Desktop\G\Door Kickers.lnk C:\Users\Pawcio\Desktop\G\Dungeon of the Endless.lnk C:\Users\Pawcio\Desktop\G\Fallout New Vegas.lnk C:\Users\Pawcio\Desktop\G\Shovel Knight.lnk C:\Users\Pawcio\Desktop\G\Spore.lnk C:\Users\Pawcio\Desktop\G\Twierdza Deluxe.lnk C:\Users\Pawcio\Desktop\G\Twierdza Krzyżowiec.lnk C:\Users\Pawcio\Downloads\1SpyHunter 4.21.10.4585 eng-full- x32 bit.rar C:\Users\Pawcio\Downloads\Malwarebytes Patch.zip C:\Users\Pawcio\Downloads\Malwarebytes Patch CMD: ipconfig /flushdns CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

W Firefox jest szkodliwe rozszerzenie Innovate Direct. Prócz tego, zostały też drobne odpadki innych obiektów adware. Akcja do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Toolbar: HKLM - Brak nazwy - {E92E2914-BEEC-4CCA-AB88-C42D6BB55FA9} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {E92E2914-BEEC-4CCA-AB88-C42D6BB55FA9} - Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4AFCEB7B-BED1-4BAE-B99C-6081A0635309} RemoveDirectory: C:\AdwCleaner EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Infekcja definitywnie nabyta z "Asystenta pobierania" dobrychprogramów (na dysku jest plik "Asystenta") podczas pobierania VLC Player: KLIK. Przeprowadź następujące operacje: 1. Odinstaluj McAfee Security Scan Plus, Update for PriceFountain. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4D868DD3-0B7E-4D7F-AF1C-6374C5BF084E} - System32\Tasks\{1802A8E9-D4E2-9194-BFA9-7593C65E5A4F} => C:\Users\User\AppData\Roaming\{1802A~1\Sync.exe [2013-05-02] () Task: {6CE05B20-7C5F-43F9-AF44-CECF33F939A0} - System32\Tasks\UserPreanestheticBikiniV2 => Rundll32.exe ReducersScythe.dll,main 7 1 Task: C:\Windows\Tasks\{1802A8E9-D4E2-9194-BFA9-7593C65E5A4F}.job => C:\Users\User\AppData\Roaming\{1802A~1\Sync.exe S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\User\AppData\Local\PreanestheticBikini RemoveDirectory: C:\Users\User\AppData\Roaming\{1802A8E9-D4E2-9194-BFA9-7593C65E5A4F} C:\Users\User\Downloads\*-dp*.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

EDIT: Nie zauważyłam adnotacji o rozwiązywaniu na innym forum (przy łączeniu postów dopiero wychwyciłam to zdanie). Proszę o link do tematu gdzie to robiono, naniosę poprawki na poniższe instrukcje, bo jestem przekonana że niektóre rzeczy zrobiono inaczej. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj gpedt.msc 1.0. To jest program, który nie działa poprawnie. Nie jest możliwe wprowadzenie gpedit na systemie, który tego nie obsługuje out-of-box: KLIK. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Amazon 1Button App, Google Update Helper (2 pozycje) > Dalej. Narzędzie należy uruchomić trzy razy, nie da się w jednym podejściu usunąć wszystkich wpisów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R2 Amazon 1Button App Service; C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [436032 2016-02-17] (Amazon Inc.) R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34720 2016-03-14] () S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] S2 AICY46; Brak ImagePath S2 chk32; Brak ImagePath Task: {01789E2F-BE30-4530-B66B-1177684C6470} - System32\Tasks\Nekbygo => C:\PROGRA~1\SHOPPE~1\Itipd.bat Task: {14A1C633-0F11-4698-B7CE-E49995F480E4} - System32\Tasks\Hg0W2csNe => C:\Users\DELL\AppData\Roaming\Hg0W2csNe.exe Task: {19D91052-2ECD-4FEE-A0D5-D921E3CCEEFF} - \AION NF Saturday -> Brak pliku Task: {21547080-4230-4C4D-8027-B6ABA3C23E51} - System32\Tasks\Iwufroh => C:\PROGRA~1\GROOVE~1\Kefdhn.bat Task: {2C79CB1E-8EA6-4D30-ACD4-FC26038E62D2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {37684518-423C-48A1-B31F-A23F1F57D354} - System32\Tasks\TrJTf5Qb7B6SltM => C:\Users\DELL\AppData\Roaming\TrJTf5Qb7B6SltM.exe Task: {3DD5D351-7A8E-4D28-BDED-367D2402295C} - \WordShark Auto Updater 1.10.0.20 Pending Update -> Brak pliku Task: {4A660319-C4A6-4A59-BD96-701812A3C4B7} - System32\Tasks\Hg0W2cs => C:\Users\DELL\AppData\Roaming\Hg0W2cs.exe Task: {4B18B8AD-F8D6-4801-B23D-C684990C9851} - System32\Tasks\{27681D7C-F574-4972-B849-1C47F97A1057} => pcalua.exe -a C:\Users\DELL\Downloads\Installer.exe -d C:\Users\DELL\Downloads Task: {533FA793-BA2C-43FA-AF0E-0F583347F295} - System32\Tasks\ExEoJFeh00jFCxJIlD9FbOC => C:\Users\DELL\AppData\Roaming\ExEoJFeh00jFCxJIlD9FbOC.exe Task: {637B1544-576B-4901-9F53-02C0821A230B} - System32\Tasks\Rtjkj4SMEMC5UR2rPuFQZ7srQP => C:\Users\DELL\AppData\Roaming\Rtjkj4SMEMC5UR2rPuFQZ7srQP.exe Task: {661ADE78-8D50-4896-A503-6129435F9025} - System32\Tasks\{AA36A831-82E2-4167-A685-25076088B338} => pcalua.exe -a C:\Users\DELL\Desktop\gry\H1Z1\Installer.exe -d C:\Users\DELL\Desktop\gry\H1Z1 Task: {6AFF9B95-3805-4A66-89BE-39A958F29100} - \AION NS Sunday -> Brak pliku Task: {7671834D-97F7-4F6D-B21B-B31ABA287B9B} - System32\Tasks\Mighty Installer => C:\Users\DELL\AppData\Roaming\Mighty Installer\Mighty Installer.exe [2016-04-12] () Task: {7CB81EB2-9A0C-4B59-BFAB-C71CEC70ACE4} - System32\Tasks\Sulpurer => C:\PROGRA~1\GROOVE~1\Etiihei.bat Task: {7E2546CF-D018-46B7-B0B7-51B5C25F19AB} - System32\Tasks\{41CCF072-7124-4EF9-A378-23FC966A4A8E} => pcalua.exe -a "C:\Program Files (x86)\MTV20151125\uninstall.exe" -d "C:\Program Files (x86)\MTV20151125" Task: {8529E4A5-CE4B-4740-AFFA-E10E5B4BB22D} - \AION NS Saturday -> Brak pliku Task: {96554119-8548-4373-8F3E-B4543916F06E} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {9D19AD25-752F-421F-9C14-F932681DC183} - \Image Camera -> Brak pliku Task: {A3909F6F-FD4E-446F-8C25-AA32B9AC6D00} - System32\Tasks\Program Service Viewer => C:\Program Files (x86)\Program Service\ProgramService.exe [2015-11-16] (Backup Updater) Task: {AB1A40C2-A59D-445D-AF65-3298C3510FEE} - System32\Tasks\Usługa magazynu 1.0.30 => C:\Users\DELL\AppData\Local\Usugamagazynu\usługa.exe Task: {B70E7BEF-1B16-4936-9172-7F4FAD486F89} - System32\Tasks\{7A206FDB-7A7A-4E5C-BCF3-F3C43904A679} => pcalua.exe -a C:\Users\DELL\AppData\Roaming\Gameo\uninstall.exe Task: {B936A2AD-EAC8-4C80-AEE1-0B3A3FD06BFA} - System32\Tasks\Z44gsFpAErqtP7i364Q => C:\Users\DELL\AppData\Roaming\Z44gsFpAErqtP7i364Q.exe Task: {C1D9B98E-936A-4ECF-A3CA-B0DEDB80F18A} - \WordShark Auto Updater 1.10.0.20 Core -> Brak pliku Task: {D504089D-A0A1-440E-A69D-9F8EF605DC5D} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\Windows\TEMP\DeleteFolderTask.exe Task: {D8D4E7C7-7EB4-48B5-A268-327B996A46B5} - System32\Tasks\{24CC2F1D-70DB-4614-ACDD-5ADC8067B180} => pcalua.exe -a "C:\Users\DELL\Documents\My Games\Nowy folder\sa-mp-0-3x-R1-2-install.exe" -d "C:\Users\DELL\Documents\My Games\Nowy folder" Task: {DEEABE95-B8F8-45FF-8F4C-42E6D0698200} - \Image Camera2 -> Brak pliku Task: {E419F4AB-7896-4937-BB97-142B478E2DF8} - System32\Tasks\Mighty Installer Logon => C:\Users\DELL\AppData\Roaming\Mighty Installer\Mighty Installer.exe [2016-04-12] () Task: {EB4DC13F-4578-4E12-B790-F7C8182FCBDB} - System32\Tasks\InternetSoft Computer Service => C:\Program Files (x86)\InternetSoft Computer\jptask.exe [2016-04-18] () Task: {F9876E87-BE1B-4B73-9732-C587506C81A7} - System32\Tasks\{74BA0D52-DADA-4424-9065-2827648E0A83} => pcalua.exe -a "C:\Users\DELL\Desktop\Nowy folder\Installer.exe" -d "C:\Users\DELL\Desktop\Nowy folder" Task: {FF232E1A-BEE6-459E-B26F-160A12F8BFBE} - \AION NF Sunday -> Brak pliku Task: C:\Windows\Tasks\ExEoJFeh00jFCxJIlD9FbOC.job => C:\Users\DELL\AppData\Roaming\ExEoJFeh00jFCxJIlD9FbOC.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Hg0W2cs.job => C:\Users\DELL\AppData\Roaming\Hg0W2cs.exe Task: C:\Windows\Tasks\Hg0W2csNe.job => C:\Users\DELL\AppData\Roaming\Hg0W2csNe.exe Task: C:\Windows\Tasks\Rtjkj4SMEMC5UR2rPuFQZ7srQP.job => C:\Users\DELL\AppData\Roaming\Rtjkj4SMEMC5UR2rPuFQZ7srQP.exe Task: C:\Windows\Tasks\TrJTf5Qb7B6SltM.job => C:\Users\DELL\AppData\Roaming\TrJTf5Qb7B6SltM.exe Task: C:\Windows\Tasks\Z44gsFpAErqtP7i364Q.job => C:\Users\DELL\AppData\Roaming\Z44gsFpAErqtP7i364Q.exe HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.29.5\npGoogleUpdate3.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.29.5\npGoogleUpdate3.dll [brak pliku] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\5B40800E9809BDF4D2DE0DF666FF75955B40 [2016-01-09] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853762107109&GUID=7C736AC7-205D-4901-9346-B076B847800A HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853762111631&GUID=7C736AC7-205D-4901-9346-B076B847800A HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1053583817-2471753782-14959594-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853764757480&GUID=7C736AC7-205D-4901-9346-B076B847800A SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=24c66708a94aeb404746fc08608c6d1b&c=p1&src=srch&inst=1461240325 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=24c66708a94aeb404746fc08608c6d1b&c=p1&src=srch&inst=1461240325 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" IE trusted site: HKU\S-1-5-21-1053583817-2471753782-14959594-1004\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-1053583817-2471753782-14959594-1004\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v cpuminer /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v gpuminer /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files\Common Files\*.exe C:\Program Files (x86)\Amazon C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\Program Service C:\ProgramData\webad.xml C:\Users\DELL\AppData\Local\Google C:\Users\DELL\AppData\Roaming\atb C:\Users\DELL\AppData\Roaming\Mighty Installer C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ĂŔÍĽäŻŔŔ.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Action!.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Counter-Strike Global Offensive Warzone.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\FaceRig.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\GIANTS Engine 6.0 (2).lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\gta_sa.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Terraria.lnk C:\Users\DELL\Desktop\Biuro Rachunkowe Rzeczpospolitej.lnk C:\Users\DELL\Desktop\gry\Euro Truck Simulator 2 (x64).lnk C:\Users\DELL\Desktop\gry\Firewatch.lnk C:\Users\DELL\Desktop\gry\Professional Farmer 2017.lnk C:\Users\DELL\Desktop\gry\RigNRoll.lnk C:\Users\DELL\Desktop\gry\Saints Row The Third.lnk C:\Users\DELL\Desktop\gry\Update Garrys Mod.lnk C:\Users\DELL\Desktop\gry\World of Tanks.lnk C:\Users\Ewelina\AppData\Local\Google C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ĂŔÍĽäŻŔŔ.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk C:\Users\Ewelina\AppData\Roaming\GiftBag.db C:\Users\Ewelina\Desktop\Biuro Rachunkowe Rzeczpospolitej.lnk CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta: ==================== Konta użytkowników: ============================= DELL (S-1-5-21-1053583817-2471753782-14959594-1001 - Administrator - Enabled) => C:\Users\DELL Ewelina (S-1-5-21-1053583817-2471753782-14959594-1004 - Administrator - Enabled) => C:\Users\Ewelina Zaloguj się po kolei na każde z nich poprzez pełny restart komputera, a nie Wyloguj czy Przełącz użytkownika. Na każdym zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Posty posklejałam doprowadzając całość do oczekiwanej początkowo formy. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj wątpliwy skaner SpyHunter 4 oraz niepożądany program WinZip udający prawdziwy WinZip. Jeśli będzie jakiś problem z deinstalacją SpyHunter, zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1425676910&from=wnf&uid=WDCXWD3200AVVS-73L2B0_WD-WCAV1373858538585","hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=FF7BB33FD1ABCECA6A21802F55D6E89C&v=20160329&ts=AHEpCHMtBX0pBE..","hxxp://www.google.pl/" CHR HKU\S-1-5-21-3554043997-3257010474-766506353-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3554043997-3257010474-766506353-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-3554043997-3257010474-766506353-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> BootExecute: autocheck autochk * bootdelete S0 hitmanpro37duringboot; system32\drivers\hitmanpro37.sys [X] S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X] S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X] Task: {53A04990-5FBD-4627-B2C6-C72D629CC33C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {67681B65-8DB8-43F6-96F6-A8511AF951DB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {6B48781A-6F22-4928-878E-B95634AC6005} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {6BE3DA85-0770-49BC-BB9C-B2429B970D93} - \WinTaske -> Brak pliku <==== UWAGA Task: {6C4426DE-4D73-4FF6-BD7F-2150E9F5E5F6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {C7EE9CEE-5C92-4AD4-AADF-4DB6107079ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {C89432D8-735C-4B07-A10A-CA784C72CB91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {CA96C24B-E2E5-458D-ACC4-AB256F22F23D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {CC87C4A6-9240-4AD6-9CE2-E08A616AB924} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {D528D199-9809-48BA-A6C3-FD1227D5F524} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Arek\AppData\Roaming\GiftBag.db C:\Users\Arek\Downloads\SpyHunter-Installer.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy C:\Users\Public\Documents\dmp C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skrypt FRST odblokuje ustawienia Google Chrome, więc wyczyść ogólnie przeglądarkę: Zresetuj synchronizację (o ile włączona), punkt 2: Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Rozszerzenia > odinstaluj podejrzane rozszerzenie Video AdBlock for Chrome (wprowadzone przez zewnętrzny instalator), o ile nadal będzie widoczne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Tak, instalator AllPlayer to znany dystrybutor sponsorów typu GazetaPL. A o HijackThis zapomnij. To jest stary 32-bitowy program niepoprawnie zachowujący się na systemie 64-bit (pokazuje bzdury i fałszywe "braki", a ich naprawa grozi uszkodzeniami systemu). Poza tym, ten wpis który przedstawiłeś to modyfikacja w Internet Explorer. HijackThis nie skanuje wcale przeglądarek Firefox i Google Chrome, a to w nich są modyfikacje: FireFox: ======== FF Homepage: hxxp://www.gazeta.pl/0,0.html?p=189 Chrome: ======= CHR StartupUrls: Profile 2 -> "hxxp://www.gazeta.pl/0,0.html?p=189" Akcja: 1. W Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Ustawienia > Opcje > Po uruchomieniu programu Firefox > w sekcji Strona startowa wymaż adres gazeta.pl zastępując czymś innym. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres gazeta.pl, przestaw na "Otwórz stronę nowej karty" 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Adware PriceFountain nabyłeś przypuszczalnie przy udziale "Asystenta pobierania" dobrychprogramów (w systemie pośrednie ślady jego używania): KLIK. Ale w systemie o wiele więcej odpadków adware, niż tylko wyliczany problem. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Adware: BitGuard, LiveVDO, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar, VirtualDub Packages. Stare niebezpieczne (luki!) i zbędne programy: Adobe AIR, Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 9.5.5 - Polish, Gadu-Gadu 7.7, Gadu-Gadu 10, GG Tools, Java 7 Update 11, JavaFX 2.1.0, McAfee Security Scan Plus, Norton Internet Security, Norton Online Backup, Real Alternative 2.0.2, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (te dwa ostatnie to odpadki po odinstalowanym AVG). Wpisy adware są w większości odpadkami. Jeśli któregoś nie będzie widać lub deinstalacja zwróci błąd, kontynuuj. Zajmę się nimi potem. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64; C:\Windows\System32\drivers\{f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64.sys [48784 2014-12-29] (StdLib) S3 CrystalSysInfo; \??\D:\Program Files (x86)\MediaCoder\SysInfoX64.sys [X] S1 wfdrvr_vt_1_10_0_25; system32\drivers\wfdrvr_vt_1_10_0_25.sys [X] Task: {034FC438-375D-4E70-99C9-93BF59693BE8} - System32\Tasks\{C6AB5B57-A79F-4E9A-B358-005D0847E5B8} => Chrome.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {03A5CD7D-538B-4FB5-B2B1-9D0258CDE1B7} - System32\Tasks\DorotaNonspecificFragmentedV2 => Rundll32.exe GlobalistsVandals.dll,main 7 1 Task: {68DBA077-6D76-465E-A0FE-DD4DDBD46EEB} - System32\Tasks\Odkurzacz => C:\Program Files (x86)\Odkurzacz\odkurzacz.exe Task: {7B7F90E4-FF34-4F1B-9544-CD988C79422B} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {A54BC252-60F0-47A7-A987-86EA52C41D72} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {C873C96C-89A0-4900-A860-ADA65A1C9694} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {CE4FFE68-873F-4414-817A-74085B999D28} - Brak ścieżki do pliku Task: {E89CC18F-0781-4F4E-B360-EDBC80933A21} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\NexonUp.vbs [2015-09-27] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csNBe8YCEujMDfpEJP4EyJ6_Ay2Rg4OmXux9oG2NXO8Nbcz0ZFHRKQeU2C-PX5W38YGuHDeSLpdwv89a-1YFkXJxJnZdJdktNTJUnWYBrl0dytWsG8w45OSqQfI6oCRYokrOxN7LBjy1jA,, CHR StartupUrls: Default -> "hxxps://www.google.pl/search?q=google&aq=f&oq=go&aqs=chrome.3.60l3j59l2j57.3141j0&sourceid=chrome&ie=UTF-8#hl=pl&gs_rn=12&gs_ri=psy-ab&pq=google&cp=6&gs_id=18&xhr=t&q=menostop&es_nrs=true&pf=p&sclient=psy-ab&oq=menost&gs_l=&pbx=1&bav=on.2,or.r_qf.&bvm=bv.46340616,d.Yms&fp=ca266102337a30ad&biw=796&bih=596","","hxxp://www.yessearches.com/?mode=nnnb&ptid=ior&uid=4E6152729E4773FFDA4987D6C6989BB8&v=20160108&ts=AHEpAnUoBHAkAk.." HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.buenosearch.com/?babsrc=HP_ss&mntrId=169CB803051C2579&affID=128491&tsp=5162 HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 - (Brak nazwy) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {15431241-F15B-43FE-B204-ED85884C491B} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={8AB90565-6719-11E2-AD3B-B803051C257C} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?src=sp&aff=51&cf=0e282bf6-47c2-11e2-8f12-b803051c257c&q={searchTerms} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=169CB803051C2579&affID=128491&tsp=5162 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {139DD132-0CCB-4F7B-AD1D-0EA93F8C0329} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={8AB90565-6719-11E2-AD3B-B803051C257C} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: High Stairs -> {45e60e41-85ee-4c01-9dac-1ecb9bf64179} -> C:\Program Files (x86)\High Stairs\Extensions\45e60e41-85ee-4c01-9dac-1ecb9bf64179.dll => Brak pliku BHO-x32: Brak nazwy -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> Brak pliku BHO-x32: Brak nazwy -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{38216570-5DB1-45F8-A344-B0C4E252B14B}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.26.7\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files (x86)\AVG C:\Program Files (x86)\LiveVDO plugin C:\Program Files (x86)\SearchesToYesbnd C:\ProgramData\Avg C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 v48 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Odkurzacz C:\Users\Default\AppData\Local\AVG C:\Users\Default\AppData\Roaming\AVG C:\Users\Dorota\AppData\Local\{3339D366-4C3A-4ABA-A74E-C415D6A5CAD4} C:\Users\Dorota\AppData\Local\AvgSetupLog C:\Users\Dorota\AppData\Local\Conduit C:\Users\Dorota\AppData\Local\CRE C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} C:\Users\Dorota\AppData\Local\NonspecificFragmented C:\Users\Dorota\AppData\Roaming\msnsvconfig.txt C:\Users\Dorota\AppData\Roaming\AVG C:\Users\Dorota\AppData\Roaming\WarThunder C:\Users\Dorota\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Dorota\Desktop\Continue Apache OpenOffice installation.lnk C:\Users\Dorota\Desktop\Odkurzacz.lnk C:\Users\Dorota\Desktop\Play Games Online.url C:\Users\Dorota\Downloads\sh-remover.exe C:\Users\Public\Desktop\avast! Internet Security.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj LiveVDO.tv plugin, o ile nadal będzie widoczny po w/w deinstalacji. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware High Stairs 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition. Dołącz też plik fixlog.txt.

W raportach FRST widać tylko wpis sponsorowanego Binga w starcie, co raczej nie wiąże się z problemem. Wspominasz wyraźnie, że przekierowania się pojawiły "po skorzystaniu z sieci hotelowej". To wskazuje na infekcję routera tamtej sieci, a pomimo wypięcia się z niej efekt może być nadal widczny u Ciebie ze względu na zapamiętane rekordy w cache bufora DNS i/lub cache przeglądarki. Czyli zadam czyszczenie tych miejsc + inne pomniejsze korekty. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3377222215-263577021-991360115-1001\...\Run: [bingSvc] => C:\Users\Marek\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-01-16] (© 2015 Microsoft Corporation) HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,c:\program files\soluto\soluto.exe /userinit, SearchScopes: HKU\S-1-5-21-3377222215-263577021-991360115-1001 -> {AD627D66-48D3-45B5-B45D-AAED37AAE370} URL = S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 iscFlash; \??\C:\Users\Administrator\AppData\Local\Temp\7zS211A.tmp\iscflashx64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Temp C:\Users\Marek\AppData\Local\Microsoft\BingSvc Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Wspominasz o "aktualizacji Javy" - to nie ma związku z problemem. Tytułowy problem jest wynikiem instalacji adware, np. z "Asystenta pobierania" dobrychprogramów: KLIK. A DelFix jest narzędziem do usuwania używanych skanerów, a nie do rozwiązywania innych problemów. Jego użycie jest wskazywane dopiero po poprawnym i zweryfikowanym wyczyszczeniu systemu. Działania do przeprowadzenia: 1. Odinstaluj YAC(Yet Another Cleaner!). To wątpliwy program: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HomePage: Default -> hxxp://www.nicesearches.com?type=hp&ts=1459846260&from=58740405&uid=wdcxwd10ezex-22rkka0_wd-wcc1s249983699836&z=6c86049ed42eb39004cd8c1g4zawdtdb6z4q8o2w7b CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1459846260&from=58740405&uid=wdcxwd10ezex-22rkka0_wd-wcc1s249983699836&z=6c86049ed42eb39004cd8c1g4zawdtdb6z4q8o2w7b" CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i6vduz1i.default-1446115981659\extensions\arthurj8283@gmail.com FF Extension: xRocket Toolbar - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i6vduz1i.default-1446115981659\Extensions\arthurj8283@gmail.com [2016-04-05] [brak podpisu cyfrowego] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1950264698-4186879998-1248757431-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-1950264698-4186879998-1248757431-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg. R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-31] (IObit) Task: {3E2AE9E0-119D-49C2-9D79-70C94023F72E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {435AAFD0-7E55-4250-B309-99B11CCF2EEA} - System32\Tasks\{CB041C3D-EFDA-4699-B324-A960417F211C} => pcalua.exe -a C:\Users\Marcin\Downloads\WVC54GCA-CD-Content-10-25-2007_SetupWiz\SetupWizard.exe -d C:\Users\Marcin\Downloads\WVC54GCA-CD-Content-10-25-2007_SetupWiz Task: {7819D3A5-3703-4BF6-88EB-2DDE4F8B6F79} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {7C1FE088-DF43-4C23-A3B0-8BC34E5986E6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {856B8D27-03C3-47ED-AA32-3A93DCC924ED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {87BAA61B-5BCD-473E-962A-69CED1142C98} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {9A5772C3-EBF1-469D-99E0-A741E60A8C0A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A3C89676-1FDE-497E-BF5A-0D00F8619AD3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {AA1C184A-AEF9-4CF5-A5FD-667502AE52B6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {C2094B5C-D1C4-4755-8173-A1331070A17F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {C8C926BA-28F4-4B95-BF04-CA97F13A9286} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D13C8137-7427-43AC-B53D-1CB822F375DD} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {D7C5AC68-CC90-4783-9585-FC7CC67D14BA} - \Browser Updater Task(Core) -> Brak pliku FirewallRules: [TCP Query User{2913C8E5-3E66-4CAD-9591-B38AB142C88B}C:\program files\ispy\ispy (64 bit)\ispy.exe] => (Allow) C:\program files\ispy\ispy (64 bit)\ispy.exe FirewallRules: [uDP Query User{C07AE18B-3BFE-40F6-A45B-4A07D85923C0}C:\program files\ispy\ispy (64 bit)\ispy.exe] => (Allow) C:\program files\ispy\ispy (64 bit)\ispy.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Google+ Auto Backup" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f C:\Program Files (x86)\GUM2E7E.tmp C:\Program Files (x86)\IObit C:\ProgramData\2winp2 C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\Marcin\Documents\Detektor Winampa\Odinstaluj Detektor Winampa.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\ALL Media Server.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\ALL YouTube Downloader.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\ALLConverter PRO.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Bezpieczne pieniądze.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Brother Creative Center.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\DivX Movies.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\DivX Plus Converter.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\DivX Plus Player.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\DriverScanner.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Drop EPS here PNG out.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\ED.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\EPSON Scan.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Google Earth.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Handlowiec iBiznes.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Kaspersky PURE 3.0.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Nikon Transfer.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\PDFArchitect.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\PITy 2009.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\PlayMemories Home.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Samsung Kies (Lite).lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Samsung Update Plus.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\User Guide.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\WF-Mag dla Windows.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\YouTube to ALLPlayer.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\YTD Video Downloader.lnk C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skrypt FRST odblokuje Google Chrome, więc wyczyść konkretnie przeglądarkę: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Czy jest jakaś poprawa? vs. Nic więcej ponadto co powiedziałam nie jestem w stanie dodać. Sterowników komputera nie da się w pełni zweryfikować via FRST. Jedyne co widać, to stan niedomyślnych usług sterownikowych (i tu nic konkretnego) oraz brak zgłoszeń na temat wadliwych urządzeń w Menedżerze urządzeń. To nie jest pełna diagnostyka sterowników, nie wspominając o sprzęcie per se.

Na koncie Asia następujące czynności do przeprowadzenia: 1. I tu Firefox jest zanieczyszczony adware. Czyli z poziomu Asi wykonaj podobne działania jak wcześniej dla Marka: 2. Mini usuwanie odpadkowych wpisów. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-725345543-117609710-1801674531-1007\...\Run: [Gadu-Gadu] => "D:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-725345543-117609710-1801674531-1007\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=107 C:\Documents and Settings\Asia\Pulpit\Skrót do gg.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. I trzecia sprawa - widziałam to już wcześniej tylko czekałam na log Shortcut pobrany z innego konta, by wykluczyć błąd FRST. Prawie na wszystkich kontach użytkowników innych niż Marek wiele skrótów narzędzi systemowych w Menu Start jest pustych, gdyż kierują na D:\Program files zamiast C:\Program files. Trzebaby było ręcznie skróty poprawić we Właściwościach skrótu podmieniając literę D na C. Dla Asi są to następujące skróty: Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Książka adresowa.lnk -> D:\Program Files\Outlook Express\wab.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\iexplore.exe (Brak pliku) Shortcut: C:\Documents and Settings\Asia\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) I niektóre skróty matrycy kont wykazują tę samą wadę, czyli każde nowo zakładane konto będzie mieć skróty kierowane na D. Na razie do poprawienia też te skróty: Shortcut: C:\Documents and Settings\Default User\Menu Start\Programy\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku) Shortcut: C:\Documents and Settings\Default User\Menu Start\Programy\Akcesoria\Rozrywka\Windows Media Player.lnk -> D:\Program Files\Windows Media Player\wmplayer.exe (Brak pliku)

1. Sekcja "Suspicious files" do zignorowania. Czyli do usunięcia w Hitman są tylko szczątki adware, tzn. grupy opisane jako "Potential Unwanted Programs" i "Cookies". 2. Na koniec pousuwaj z dysku wszyskie kopie FRST i jego logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Dla porządku najpierw podaj logi tylko z jednego konkretnego konta. Dopiero gdy zostanie sprawdzone, z następnego.

Jak mówiłam, nie wiem czy obecnie aktywność cracka jest pełna, ponieważ nie widzę modyfikacji plików user32.dll. A ten zmodyfikowany przez cracka plik Hosts można przywrócić do stanu domyślnego stosując narzędzie Fix-it: KLIK. Logi z FRST są bardzo ograniczone i na ich podstawie nie można wszystkiego stwierdzić, ani wykonać diagnostyki stricte sprzętowej. Niemniej to co widać nie wskazuje na jakieś konkretne problemy.

Fix wykonany. Zostaje więc sprawa pozostałych kont użytkowników w Windows - czy masz do nich dostęp?

1. Ostatnia poprawka na puste wpisy po świeżych deinstalacjach. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @java.com/DTPlugin,version=1.6.0_33 -> C:\WINDOWS\system32\npdeployJava1.dll [2012-08-09] (Sun Microsystems, Inc.) CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{3A348AFF-1337-0420-A942-B5011F78DA33}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-725345543-117609710-1801674531-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Skype RemoveDirectory: C:\Documents and Settings\Mama\Dane aplikacji\Skype Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Wracam do tego wątku: Dotychczas było sprawdzane tylko jedno konto użytkownika MarekM. Jeśli system ma być porządnie sprawdzony, wypadałoby dostarczyć także logi FRST z pozostałych kont po kolei (tzn. będąc na nich zalogowanym), o ile masz dostęp do tych kont.

Zadania pomyślnie wykonane. Na koniec: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Skasuj FRST i jego logi z folderu fff na Pulpicie. Następnie zastosuj jeszcze DelFix. 3. Do czytania na co uważać, bo problemy były konsekwencją uruchomienia sponsorowanego instalatora, bądź "downloadera" portalowego: KLIK.

Logi przecież miał usunąć DelFix... Jeśli tego nie zrobił, dokasuj ręcznie.

Czy po odinstalowaniu AVG jest jakaś poprawa w działaniu systemu? Fix FRST wykonany. 1. W Google Chrome pozostał drobny wtręt adware. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.ask.com. 2. Dokasowanie folderów odpadkowych po AVG. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\$AVG RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Users\User\AppData\Local\Avg RemoveDirectory: C:\Users\User\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\User\AppData\Roaming\AVG Uruchom w taki sam sposób jak poprzednio. Przedstaw wynikowy fixlog.txt. 3. Raport FSS podaje, że brakuje klucza Windows Defender w systemie. Rekonstrukcja usługi. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

Nie dostarczyłeś pliku fixlog.txt z wynikami powtórzonej akcji, a dostarczone raporty FRST są stare z wczoraj. Zrób nowe logi FRST z chwili obecnej.

Ja natomiast sądzę, że to jest stary nieaktualny już odczyt MBAM. On wykrywa takie wpisy, których na 100% nie ma teraz w systemie, gdyż nie pokazuje ich FRST. W związku z tym wyczyść wszystkie logi MBAM, następnie zrób świeży skan.

Niestety to nie jest właściwy log z DelFix. Uruchomiłeś narzędzie ponownie, co nadpisuje poprzedni raport i już nie można sprawdzić co wcześniej narzędzie usuwało. Skasuj z dysku plik C:\delfix.txt. 1. Hitman wykrył drobnostki, tzn. ciasteczka i to wyczyść za pomocą programu. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania czego unikać, gdyż teń chińczyk (notabene to nie jest wirus) został nabyty w podobny sposób z jakiegoś instalatora sponsorowanego bądź portalowanego "downloadera": KLIK.

Wszystko pomyślnie wykonane. Na koniec: 1. Skorzystaj z DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Do wykonania pełna aktualizacja Windows, obecnie stan fatalny: brak SP1, IE11 i reszty łat, co oznacza także zablokowanie aktualizacji. Do instalacji będzie około kilkaset łat z Windows Update. Platform: Windows 7 Professional (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)