Miszel03

W raportach brak oznak infekcji, w spoilerze sprawy poboczne: kasacji pustych wpisów / usług, szczątek po programach (głownie po przeglądarce FireFox)

Możesz je sobie odpuścić. W raportach brak oznak infekcji, w spoilerze sprawy poboczne. Jeśli chodzi o problem tytułowy to w nim Ci nie pomogę. Musisz czekać na kogoś innego.

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. Zaktualizuj ważne programy - KLIK. Przeczytaj obszerny temat dot. uniknięcia nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.

W dostarczonych raportach widoczny wpis w harmonogramie zadań uruchamiający armani-br.ru oraz szkodliwe zmodyfikowane polityki grup. W skrypcie: kasacja widocznych problematycznych elementów oraz pustych wpisów, skrótów LNK, szczątek po programach (głownie po przeglądarce FireFox). P.S: Korzystasz z rozwiązania firmy Qihoo, a z tą firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia ? GroupPolicy\User: Ograniczenia ? HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {FF2C4045-21E4-47C9-80D8-9804ED889658} - System32\Tasks\InternetDD => Chrome.exe hxxp://armani-br.ru/coloradosm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firewatch\Firewatch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firewatch\Uninstall Firewatch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner.lnk C:\Users\wiki\Desktop\Minecraft.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Hubert\AppData\Local\Mozilla C:\Users\Hubert\AppData\Roaming\Mozilla C:\Users\Hubert\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt oraz napisz czy problem ustapił.

W raportach brak oznak infekcji, widać jedynie szczątki po adware Lightzap. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = U0 aswVmm; Brak ImagePath S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {59EB9752-6973-4DA6-937A-640E9669C1E2} - System32\Tasks\psv_GoodTech => /c regedit.exe /s "C:\ProgramData\Lightzap\BlueBam.reg" & del "C:\ProgramData\Lightzap\BlueBam.reg" & SCHTASKS /Delete /TN "psv_GoodTech" /F Task: {7AB1C037-B1CF-49DE-81ED-8CD7D92E4456} - System32\Tasks\psv_Voyawarm => /c regedit.exe /s "C:\ProgramData\Lightzap\Scot-Dox.reg" & del "C:\ProgramData\Lightzap\Scot-Dox.reg" & SCHTASKS /Delete /TN "psv_Voyawarm" /F Task: {E0D4BBE4-11ED-46E4-B799-E0C6EC4617A2} - System32\Tasks\psv_Rankcore => /c regedit.exe /s "C:\ProgramData\Lightzap\Soldom.reg" & del "C:\ProgramData\Lightzap\Soldom.reg" & SCHTASKS /Delete /TN "psv_Rankcore" /F Task: {E2FD6EDB-4AA8-4AD3-9B97-676DFAC1475B} - System32\Tasks\psv_Zenstatplus => /c regedit.exe /s "C:\ProgramData\Lightzap\Joyhome.reg" & del "C:\ProgramData\Lightzap\Joyhome.reg" & SCHTASKS /Delete /TN "psv_Zenstatplus" /F Task: {F7C9B877-AB18-42A9-A000-2F211B077CC3} - System32\Tasks\psv_Medfind => /c regedit.exe /s "C:\ProgramData\Lightzap\Trioplus.reg" & del "C:\ProgramData\Lightzap\Trioplus.reg" & SCHTASKS /Delete /TN "psv_Medfind" /F C:\ProgramData\Lightzap C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes\iTunes.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty wyglądają już w porządku, podsumuj obecną sytuację. C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\chfdnecihphmhljaaejmgoiahnihplgn Wykryto preferencje Chromium: [C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences ] - chfdnecihphmhljaaejmgoiahnihplgn To nie są szkodliwe obiekty należą do AVG, ale przez AdwCleanera są traktowane jako firmowe PUP.

Temat nie jest zakończony, jeśli by był to na pewno bym Cię o tym poinformował. Czekaj na odpowiedź.

W raportach brak oznak infekcji, w spoilerze sprawy poboczne: kasacji pustych usług / wpisów, kosmetyka.

Wersja, której użyto do generacji raportów FRST jest bardzo przestarzała, bo z lutego br. Wykonaj nowe raporty korzystając z najnowszej wersji narzędzia Farbar Recover Scan Tool.

To wygląda na fałszywy alarm, zobacz choćby na dodatkowe informacje o elemencie - pochodzenie procesu od MBAM.

W raportach widoczne modyfikacje adware (zarażone skróty LNK, profil, polityki grup). Zaczynamy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-844956796-4294606565-3297058277-1000\Software\Microsoft\Internet Explorer\Main,Start Page = BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku CHR Profile: C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-15] S3 7ByteIo; \??\d:\Program Files (x86)\Hot CPU Tester Pro 4 LE\SysInfoX64.sys [X] S3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [X] S3 GPU-Z; \??\C:\Users\PAWE~1\AppData\Local\Temp\GPU-Z.sys [X] Task: {92A2E941-65A9-4082-A860-F477ED1386C4} - \8d66777dde5c9948c03b04d1f9eb5a60 -> Brak pliku Task: {BF7A1F20-BA8E-48BA-BCE4-0F9A369FF52A} - System32\Tasks\steamwebhelper_killer => TASKKILL [Argument = /F /IM steamwebhelper.exe /T] ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" --app-id=knipolnnllmklapflnccelgolnpehhpl ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Paweł\AppData\Local\Mozilla C:\Users\Paweł\AppData\Roaming\Mozilla C:\Users\Paweł\AppData\Roaming\Profiles C:\ProgramFiles (x86)\Mozilla Firefox C:\ProgramData\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Paweł\AppData\Local CMD: dir /a C:\Users\Paweł\AppData\LocalLow CMD: dir /a C:\Users\Paweł\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. Przeczytaj i dowiedz się jak unikać podobnych sytuacji: Portale z oprogramowaniem / Instalatory - na co uważać.

W raportach widoczny kolosalny bałagan z adware, zarażone skróty LNK, podmiany Google Chrome itd. Od razu przechodzimy do działań. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {6DDD968A-9F42-4586-87A0-EB81ACD9F1CE} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe Task: {78E316D5-C79B-4453-8F55-6235945B529D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {FEE8FFAA-DBAF-4D81-A6C0-E6D607EA3FDF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser Task: {B09B556B-E4E7-4472-BC99-04AD1FC5E811} - System32\Tasks\osTip => Chrome.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\kobis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/ FirewallRules: [{AAE9FD5A-BCC0-49C6-9F01-3636168C666A}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{DFD3D180-28CC-4040-B08F-3D29EC6C40D2}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [msiql] => C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe [2045952 2016-12-16] () C:\Users\kobis\AppData\Local\Temp\00013249\msiql.exe HKU\S-1-5-21-2973696725-2151443549-252006422-1001\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe [7204864 2016-12-06] () C:\ProgramData\WindowsMsg HKU\S-1-5-18\...\Run: [] => 0 AppInit_DLLs: C:\ProgramData\Quoteex\Big-Lam.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\Ventocore.dll => Brak pliku C:\ProgramData\Quoteex HKU\S-1-5-21-2973696725-2151443549-252006422-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL = SearchScopes: HKU\.DEFAULT -> {452B3649-EC7C-4B2A-8781-EC0766B65FAD} URL = Edge HomeButtonPage: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> S2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51504 /local:br [X] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) SearchScopes: HKU\S-1-5-21-2973696725-2151443549-252006422-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9WEwncKOf_nQNO-Y91MPzcikGgjUXzfu60sncEMqe7S-0oHLOeIT4UJPy19prMQLi4KG893CaMnG2HBysihzYXBRip_KfsuczV-oi8gIvj43O6QxRxm3eV36_jMy0kedLHnNddG-GbtpgEVM30Zq45Lihqw,,&q={searchTerms} 2016-12-16 13:11 - 2016-12-16 13:11 - 00003018 _____ C:\WINDOWS\System32\Tasks\osTip 2016-12-16 12:47 - 2016-12-16 13:44 - 00000324 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job 2016-12-16 12:47 - 2016-12-16 12:48 - 00002678 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore 2016-12-16 12:47 - 2016-12-16 12:47 - 00003506 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater 2016-12-16 12:46 - 2016-12-16 13:44 - 00000488 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job 2016-12-16 12:46 - 2016-12-16 12:46 - 00004444 _____ C:\WINDOWS\System32\Tasks\SecureUpdater 2016-12-16 12:46 - 2016-12-16 12:46 - 00000000 ____D C:\Users\kobis\AppData\Local\UCBrowser 2016-12-16 12:38 - 2016-12-16 12:38 - 7310848 _____ () C:\Users\kobis\AppData\Roaming\agent.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0070704 _____ () C:\Users\kobis\AppData\Roaming\Config.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0016224 _____ () C:\Users\kobis\AppData\Roaming\InstallationConfiguration.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0140288 _____ () C:\Users\kobis\AppData\Roaming\Installer.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0018432 _____ () C:\Users\kobis\AppData\Roaming\Main.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0005568 _____ () C:\Users\kobis\AppData\Roaming\md.xml 2016-12-16 12:38 - 2016-12-16 12:38 - 0126464 _____ () C:\Users\kobis\AppData\Roaming\noah.dat 2016-12-16 12:38 - 2016-12-16 12:38 - 0190394 _____ () C:\Users\kobis\AppData\Roaming\QvoTrax.bin 2016-12-16 12:39 - 2016-12-16 12:39 - 1938535 _____ () C:\Users\kobis\AppData\Roaming\Rantech.bin 2016-12-16 12:38 - 2016-12-16 12:38 - 0615424 _____ () C:\Users\kobis\AppData\Roaming\StimTop.exe 2016-12-16 12:38 - 2016-12-16 12:38 - 1907214 _____ () C:\Users\kobis\AppData\Roaming\StimTop.tst C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\5\Instrukcja do gry.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\4\Serwer dedykowany.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\3\Benchmark.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\2\Edytor.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\1\Graj w Far Cry® 2 (tryb bezpieczny).lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{F58739F6-E860-4CC9-AB18-C75F7A82C959}\PlayTasks\0\Graj w Far Cry® 2.lnk C:\Users\kobis\Desktop\FRESH\SUPERHOT.lnk C:\Users\kobis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\kobis\AppData\Local\Mozilla\Firefox C:\Users\kobis\AppData\Roaming\Mozilla\Firefox C:\Users\kobis\AppData\Roaming\Profiles CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Doczytaj pkt. 3.

Idziemy dalej: 1. W AdwCleaner przeprowadź jeszcze raz skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: C:\Users\Laptop\Desktop\Stare dane programu Firefox FirewallRules: [TCP Query User{5E8AA9DF-73EC-450B-AD4A-23B2F5877A2D}C:\users\laptop\appdata\local\akamai\netsession_win.exe] => C:\users\laptop\appdata\local\akamai\netsession_win.exe FirewallRules: [uDP Query User{5FF1773D-D4EA-4168-92D5-C91EBAD6C3BB}C:\users\laptop\appdata\local\akamai\netsession_win.exe] => C:\users\laptop\appdata\local\akamai\netsession_win.exe FirewallRules: [TCP Query User{EB4BB8F0-2891-4738-94DE-CACEBB17DC65}C:\users\laptop\appdata\local\akamai\netsession_win.exe] => C:\users\laptop\appdata\local\akamai\netsession_win.exe FirewallRules: [uDP Query User{B3BDCA42-29B1-45A9-88A8-CD0194AC1EE0}C:\users\laptop\appdata\local\akamai\netsession_win.exe] => C:\users\laptop\appdata\local\akamai\netsession_win.exe Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Podsumuj obecną sytuację, nie musisz dostarczać żadnych innych raportów (prócz AdwCleanera).

Poprawkowe działania: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {2EB383DB-1DAD-4BEB-A645-04560689D9D9} - \GoogleUpdateTaskMachineCore1d2557b104ac77d -> Brak pliku 2016-12-13 20:56 - 2016-12-13 21:11 - 07065600 _____ C:\Program Files (x86)\GUTBA69.tmp 2016-12-13 20:56 - 2016-12-13 20:56 - 00000000 ____D C:\Program Files (x86)\GUMBA68.tmp 2016-12-13 20:48 - 2016-12-13 20:48 - 07065600 _____ C:\Program Files (x86)\GUTC67A.tmp 2016-12-13 20:48 - 2016-12-13 20:48 - 00000000 ____D C:\Program Files (x86)\GUMC679.tmp 2016-12-13 20:36 - 2016-12-13 20:48 - 07065600 _____ C:\Program Files (x86)\GUTBD37.tmp 2016-12-13 20:36 - 2016-12-13 20:36 - 00000000 ____D C:\Program Files (x86)\GUMBD26.tmp 2016-12-13 19:51 - 2016-12-13 19:51 - 07065600 _____ C:\Program Files (x86)\GUTC38E.tmp 2016-12-13 19:51 - 2016-12-13 19:51 - 00000000 ____D C:\Program Files (x86)\GUMC38D.tmp 2016-12-09 18:57 - 2016-12-09 18:57 - 07065600 _____ C:\Program Files (x86)\GUTCF3E.tmp 2016-12-09 18:57 - 2016-12-09 18:57 - 00000000 ____D C:\Program Files (x86)\GUMCF3D.tmp RemoveDirectory: C:\Users\admin\AppData\Roaming\cfibf RemoveDirectory: C:\ProgramData\ehadh RemoveDirectory: C:\ProgramData\aehad RemoveDirectory: C:\ProgramData\ttff Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\admin\AppData\Local\Mozilla C:\Users\admin\AppData\Roaming\Mozilla C:\Users\admin\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Podsumuj obecną sytuację, nie dostarczaj żadnych raportów.

Raporty dostarczone, ale tylko częściowo, bo brakuje 3-ego raportu generowanego przez FRST czyli Shortcut.txt. Bez niego nie zaczniemy.

Dałeś link do tematu tutaj na forum, a nie do tematu spoza forum - uzupełnij go, bo znacznie naświetli mi sprawę. Nie dostarczyłeś również żadnych wymaganych raportów czyli FRST + GMER.

Nie jest źle, ale faktycznie widać w raportach adware / PUP, które stoją za wyświetlaniem niepożądanych reklam. 1. Przez panel sterowania odinstaluj: Akamai NetSession Interface (zbędnik) McAfee Security Scan Plus (instalowany jako sponsor instalacyjny) yoursearching uninstall (Adware / PUP) 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {00363794-77AC-453C-9A9F-B63D6148C70A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {2842B1BF-D00A-46D8-AE97-93D401989447} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {35749FEB-83D6-4065-ADDA-A9E25D76633B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {37AC8612-EEAD-429E-8266-AE41B94AC171} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {6662973C-75F3-4153-8C11-90E2882BBD77} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {6F59D8D9-4E8D-4069-BFA2-103938BB1A22} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {7CDF0304-DA99-441F-A78B-146C3F9CC62C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {82CDAFF3-FD20-49C7-94E0-6664F8A7AD87} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {945EEE4F-5EEB-4751-80EA-36A85C075ACA} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {95B4CA07-C7F6-41CA-BC59-88DADA57885E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {B107001F-91FF-451A-836F-EFC4FF30EAF2} - \WPD\SqmUpload_S-1-5-21-2898350105-1872382386-508321475-1001 -> Brak pliku Task: {C7B3E308-A027-44B9-BF2E-1727C205329F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {CC47B6FF-BE14-4D65-8CAC-7AA9917A4916} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E47B3820-98D3-4A6E-8F39-3363EA28FD6F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku ShortcutWithArgument: C:\Users\Laptop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursearching.com/?type=sc&ts=1448724983&z=7e585c4fe919815e2f5e3acg3z5z1b8m1oezdt1b7e&from=cor&uid=HGSTXHTS541010A7E630_S0A000SSGA3EAKGA3EAKX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursearching.com/?type=sc&ts=1448724983&z=7e585c4fe919815e2f5e3acg3z5z1b8m1oezdt1b7e&from=cor&uid=HGSTXHTS541010A7E630_S0A000SSGA3EAKGA3EAKX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursearching.com/?type=sc&ts=1448724983&z=7e585c4fe919815e2f5e3acg3z5z1b8m1oezdt1b7e&from=cor&uid=HGSTXHTS541010A7E630_S0A000SSGA3EAKGA3EAKX R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S1 dnucmarp; \??\C:\WINDOWS\system32\drivers\dnucmarp.sys [X] C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Laptop\Desktop\Jarek Psota\Dokumenty\moje\Sample Pictures.lnk C:\Users\Laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AsusSmartGestureDetector.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. W AdwCleaner jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 2. Wygeneruj nowy zestaw raportów FRST. Sprawdź czy działa Ci już kompozycja Aero.

Log FRST.TXT jest ucięty, dostarcz prawidłowy.

Jeśli temat aktualny to poproszę o nowy zestaw raportów FRST.

Przejdź do deinstalacji innych programów. Ze skryptu już usunąłem kasacje proxy, więc możesz go spokojnie wykonać.

W raportach brak oznak jakiejkolwiek infekcji. W spoilerze sprawy poboczne, nie mające związku z problemem. W związku z tym, że nie jest to problem dot. infekcji temat zostaje przeniesiony do działu Windows 10, skąd poczekasz na odpowiedź (nie wykluczone, że to ja się tym zajmę).

W systemie kolosalny bałagan. Masa instalacji adware / PUP, pozwól, że nie będę się na ten temat rozpisywać. Jeśli chodzi o tytułowy problem to system jest zainfekowany nowym wariantem infekcji adware, która modyfikuję usługę Themes, dlatego też nie możesz uruchomić kompozycji Aero. 1. Przez panel sterowania odinstaluj: aMuleCustom Bundled software uninstaller Codec Package Packages Update for Codec Package Guard.ICQ ICQ Toolbar ICQ7.7 Search App by Ask vShare.tv plugin 1.3 SpyHunter (tzn. możesz sam zadecydować, ale z tym programem związane są liczne kontrowersje) Jeśli będą problemy z deinstalacją któregoś w/w programów to zrobisz to samo tylko, że z poziomu trybu awaryjnego (kliknij w F8 przed startem systemu). 2. Otwórz Notatnik w nim wklej: (W skrypcie serwery proxy podlegają usunięciu, więc jeśli jest to celowe ustawienie to poinformuj mnie o tym, nie wykonuj dalszych kroków) CloseProcesses: CreateRestorePoint: Task: {2069B703-6AAA-4A52-AB6F-4B25DC3FB233} - \fdFFHBXCheckTask -> Brak pliku Task: {4DB077B0-835E-4DE0-A557-651B24238F2E} - \FishloseUpdateTaskMachineCore -> Brak pliku Task: {5782A8CA-1DB7-4485-B286-4BB3199AA865} - \FishloseUpdateTaskMachineUA -> Brak pliku Task: {682319A2-070A-4CF4-87CF-23570A980CC0} - \Digital Sites -> Brak pliku Task: {8FF06027-654E-45D9-9584-AAC674C9DCD9} - \NobeanUpdateTaskMachineCore -> Brak pliku Task: {9C3CFE8F-28E7-485D-9634-3173196AC674} - System32\Tasks\DealPly => C:\Users\USER\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {A4C9DD3D-C35C-4C00-9E7C-353F42934666} - \DigitalSite -> Brak pliku Task: {B915706B-DDB3-4E30-A723-4B69F7DE8934} - \NobeanUpdateTaskMachineUA -> Brak pliku Task: {BF5F702F-55BB-4944-BE2F-75045ED619F4} - \fdFFHBXBrowserUpdateCore -> Brak pliku Task: {CF72C427-57FF-4CF0-87C3-B0A67CB29603} - \Update Bonanza -> Brak pliku Task: {D0D42071-7E7B-45BC-8FA7-D8BE9F0EA318} - System32\Tasks\Hoolapp For Android => C:\Users\USER\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE Task: {D3F25FA5-E1FD-4C5C-A1FC-AAF570DED80D} - System32\Tasks\Hoolapp Init => C:\Users\USER\AppData\Roaming\HOOLAP~1\Hoolapp.exe C:\Users\USER\AppData\Roaming\DealPly C:\Users\USER\AppData\Roaming\HOOLAP~1 Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\USER\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\USER\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Update Bonanza.job => C:\Users\USER\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Program Files (x86)\Coldjob ShellIconOverlayIdentifiers: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} => Brak pliku ShellIconOverlayIdentifiers-x32: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1388680489&from=wpm0102&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476786623&z=358522b4141e4cb57770e3eg9z3m0qam5b8q9q9o3z&from=amule1017&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1388680489&from=wpm0102&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450258856&from=mych123&uid=wdcxwd5000bpkt-75pk4t0_wd-wx51a71y2161y2161&z=5fbfd3366d41532261f238dgfz2wee8o2w4babawfb HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450258856&from=mych123&uid=wdcxwd5000bpkt-75pk4t0_wd-wx51a71y2161y2161&z=5fbfd3366d41532261f238dgfz2wee8o2w4babawfb HKU\S-1-5-21-2555031829-1915374467-2933209100-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&ts=1393422490&type=default&q={searchTerms} HKU\S-1-5-21-2555031829-1915374467-2933209100-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476786623&z=358522b4141e4cb57770e3eg9z3m0qam5b8q9q9o3z&from=amule1017&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161 HKU\S-1-5-21-2555031829-1915374467-2933209100-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&ts=1393422490&type=default&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=ee282f47-8e41-11e1-88f6-ac7289578bf3&q={searchTerms} SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C46A00FFC9715CC3&affID=121564&tsp=4957 SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476786623&z=358522b4141e4cb57770e3eg9z3m0qam5b8q9q9o3z&from=amule1017&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161&q={searchTerms} SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {6552C7DD-90A4-4387-B795-F8F96747DE19} URL = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {D0B48296-04EF-45D2-A31C-4353E6244893} URL = SearchScopes: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> {EBA63E7C-8D74-472A-94A9-6CAE67390BC4} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=6A424BB3-73DC-48F5-A620-8E8CB9DC56AD&apn_sauid=AA02F8EF-69C9-4368-9446-3AF7A57928D2 BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku Toolbar: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku Toolbar: HKU\S-1-5-21-2555031829-1915374467-2933209100-1000 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1476786623&z=358522b4141e4cb57770e3eg9z3m0qam5b8q9q9o3z&from=amule1017&uid=WDCXWD5000BPKT-75PK4T0_WD-WX51A71Y2161Y2161 S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\USER\AppData\Local CMD: dir /a C:\Users\USER\AppData\LocalLow CMD: dir /a C:\Users\USER\AppData\Roaming EmtyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.