picasso

Operacje pomyślnie wykonane. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Wytnij ze skryptu linię CloseProcesses: i ponów operację.

Zabrakło głównego raportu FRST.txt, ale to już sobie możemy darować. Potwierdzam pomyślnie usunięcie infekcji. Końcowe kroki: 1. Przez SHIFT+DEL (omija Kosz) dokasuj poniższy folder i puste skróty: 2016-02-01 15:29 - 2016-02-01 15:29 - 00000000 ____D C:\Users\Public\Documents\dmp Shortcut: C:\Users\niestetytak\AppData\Roaming\Microsoft\Excel\SZCZEGÓŁOWY%20RACHUNEK%20ZYSKÓW%20I%20STRAT1304997873459696533\SZCZEGÓŁOWY%20RACHUNEK%20ZYSKÓW%20I%20STRAT1.xls.lnk -> D:\pulpit\IWONKA\DULLEK kopia 30.03.12\DOKUMENTY IWONA\ARCHIWUM\pendrive\PROGNOZY FINANSOWE\SZCZEGÓŁOWY RACHUNEK ZYSKÓW I STRAT1.xls (Brak pliku) Shortcut: C:\Users\niestetytak\AppData\Roaming\Microsoft\Excel\koszty%20zleceń304997873466102276\koszty%20zleceń.xls.lnk -> D:\pulpit\IWONKA\DULLEK kopia 30.03.12\DOKUMENTY IWONA\ARCHIWUM\pendrive\kopia z 3.02.11\koszty zleceń.xls (Brak pliku) Shortcut: C:\Users\niestetytak\AppData\Roaming\Microsoft\Excel\dane%20bilansowe304997873461102237\dane%20bilansowe.xls.lnk -> D:\pulpit\IWONKA\DULLEK kopia 30.03.12\DOKUMENTY IWONA\ARCHIWUM\pendrive\kopia z 3.02.11\DANE BILANSOWE\dane bilansowe.xls (Brak pliku) 2. Zastosuj DelFix + wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Zabrakło głównego raportu FRST.txt. Ale w sumie to nie takie potrzebne, gdyż nie były wykonywane zasadnicze modyfikacje w tym obszarze. Infekcja PriceFountain pomyślnie usunięta. Końcowe kroki, o ile samodzielnie ich ich już nie wykonałeś: Usunięcie pobranego FRST i jego logów z "Nowego folderu" na Pulpicie. Następnie zastosowanie DelFix oraz wyczyszczenie folderów Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Fix FRST pomyślnie wykonany. Na koniec zastosuj DelFix. Upewnij się, że zniknął też folder G:\FRST. Temat rozwiązany. Zamykam.

Drobne poprawki: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres istartsurf.com Ustawienia > karta Ustawienia > Osoby > skasuj wszystkie Osoby, z wyjątkiem bieżącej. 2. Otwórz Notatnik i wklej w nim: S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\f.lux DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot - Search & Destroy tray access StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Malwarebytes CMD: del /q C:\Users\Adam\Downloads\77yve7r0.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W systemie są klasyczne infekcje adware, nabyte przy udziale "Asystentów pobierania": KLIK. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: Adobe Flash Player 10 ActiveX, Browser Configuration Utility, HP Customer Participation Program 14.0, Java 8 Update 66. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\TSv\TSvr.exe [116368 2016-03-17] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [183488 2016-01-12] (TODO: ) R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ\WdMan.exe [295424 2016-03-15] (TFuns LIMITED) [brak podpisu cyfrowego] S2 PicexaService; C:\Program Files\Picexa\PicexaSvc.exe [X] U2 CertPropSvc; Brak ImagePath S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] S1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Run: [unlockerAssistant] => "C:\Program Files\Unlocker\UnlockerAssistant.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638&q={searchTerms} FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\deskCutv2@gmail.com FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\yahooprotected@gmail.com FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Mozilla\Firefox\Profiles\darqun2t.default\extensions\default_newtabff@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1458233169&z=b5922899e47261a5662c0eeg1z6w8bfoec4c1g7m0o&from=wpm0314&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1458233169&z=b5922899e47261a5662c0eeg1z6w8bfoec4c1g7m0o&from=wpm0314&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (2).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 ShortcutWithArgument: C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452600879&z=5d2d2a4cc4a75c9b20c9d73g4zewaoeqeeaebt4cam&from=ient12253&uid=WDCXWD800BB-00JHA0_WD-WMAM91853638 StandardProfile\AuthorizedApplications: [C:\Documents and Settings\HZ.HOME-1\Ustawienia lokalne\Temp\7zS3F.tmp\SymNRT.exe] => Enabled:Norton Removal Tool C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Dane aplikacji\pWdMp C:\Documents and Settings\All Users\Dane aplikacji\ZWdMZ C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\eCyber C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\HPAppData C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\TSv C:\Documents and Settings\HZ.HOME-1\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\HZ.HOME-1\Moje dokumenty\FAKTURY\FAKTURY.lnk C:\Documents and Settings\HZ.HOME-1\Pulpit\Skrót do FAKTURY.lnk C:\Documents and Settings\Właściciel\Dane aplikacji\HpUpdate C:\Program Files\Mozilla Firefox\plugins C:\Program Files\SFK C:\WINDOWS\system32\123.html C:\WINDOWS\system32\pl.html C:\WINDOWS\system32\_tWm RemoveDirectory: C:\Documents and Settings\HZ DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj Internet Explorer 8. Link w przyklejonym: KLIK. 4. Są tu dwa zasadnicze konta użytkowników i to właśnie to drugie HP wygląda na bardziej zainfekowane, wnioskując po śladach pośrednich w logach: ==================== Konta użytkowników: ============================= HZ (S-1-5-21-725345543-343818398-1606980848-1006 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\HZ.HOME-1 Właściciel (S-1-5-21-725345543-343818398-1606980848-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Właściciel Po kolei zaloguj się na te konta i na każdy zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, plik Shortcut za to już niepotrzebny. Dołącz też plik fixlog.txt.

projektfotograf, proszę dodaj dane wymagane działem Hardware. Operacja w Autoruns to rzecz poboczna (i raczej kosmetyczna) i nie ma związku z problemami. Odpowiadając na pytanie: uruchom Windows w trybie awaryjnym, i z tego poziomu uruchom program Autoruns.

Zadane operacje pomyślnie wykonane. W root dysków nie ma też żadnych plików Sality widocznych. Teraz: 1. Dla pewności powtórz skan Kasperskim dla każdego dysku z osobna. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu. Przez SHIFT+DEL (omija Kosz) ręcznie dokasuj foldery po skanerach: C:\$360Section C:\KVRT_Data 2. Trzeba wymienić poniższe produkty najnowszymi wersjami: ==================== Zainstalowane programy ====================== Adobe Reader XI - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated) Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216030FF}) (Version: 6.0.300 - Oracle) Problemy prawdopodobnie były wynikiem ingerencji Sality w pliki wykonalne. Instalacje aplikacji, gdy wirus jest aktywny, mijają się z celem. Obecnie infekcja nie jest jednak aktywna. Zadałam instalację IE8 z dwóch powodów: przebicie plików Internet Explorer czystymi niezawirusowanymi wersjami oraz zabezpieczenie systemu (IE6 to dramatycznie dziurawa wersja). Gdy ukończysz czyszczenie systemu, spróbuj ponownie doinstalować wszystkie brakujące aktualizacje.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Są tu wprawdzie obiekty adware/PUP (BingSvc w starcie), ale to ma podrzędne znaczenie i tym się na teraz nie zajmuję. 1. Dodaj raport FRST na następującym ustawieniu: odznacz pola Usługi i Sterowniki, w celu pokazania usług Microsoftu. 2. Jeśli chodzi o log z operacji SFC, opis sugeruje, że próbujesz bezpośrednio otwierać plik CBS.log. Miałeś stworzyć log filtrowany w sposób automatyczny. Wytyczne także w tym temacie: KLIK

Dodałeś raporty z drugiego konta. To nie te o które mi chodziło. Poprzednie konto (które miałam na uwadze) najwyraźniej teraz usunąłeś i założyłeś nowe konto. Nowego konta nie ma co sprawdzać. Na zakończenie: 1. Dokasuj jeszcze szczątkowe foldery. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Google RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox RemoveDirectory: Ścieżka usunięta na prośbę autora Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix (wcześniej też go używałeś i nie wiadomo w jakim celu) oraz wyczyść foldery Przywracania systemu: KLIK. A problem z komunikatami o dysku jak mówiłam do działu Hardware. Z dyskiem może być coś nie w porządku, gdyż na dysku są foldery po checkdisku oraz folder z uszkodzoną nazwą - skasuj ręcznie "Ĺukasz": 2016-04-10 16:35 - 2013-01-28 22:50 - 00000000 ____D C:\Users\Ĺukasz\AppData\Local\libimobiledevice 2016-04-10 16:37 - 2015-02-13 19:40 - 00000000 ____D C:\found.002

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

Zadania usuwające pomyślnie wykonane. Czekam na raporty z drugiego konta. Wg raportu FRST nie ma tu problemu z wolnym miejscem na dysku: ==================== Dyski ================================ Drive c: () (Fixed) (Total:141.49 GB) (Free:105.95 GB) NTFS Drive d: () (Fixed) (Total:141.5 GB) (Free:81.28 GB) NTFS I problem tego komunikatu to osobny wątek do działu Hardware. Zasady tego działu: KLIK.

Czy obecnie normalne logowanie bez trybu incognito nadal zwraca ten komunikat? Fix FRST uruchomiłeś aż trzy razy, co było bez sensu. Fix jest jednorazowego użytku i nie przetworzy ponownie tego samego. I drobne poprawki na szczątki po deinstalacjach. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Norton Internet Security RemoveDirectory: C:\Program Files (x86)\NortonInstaller RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\Users\M\AppData\Local\F-Secure RemoveDirectory: C:\Users\M\AppData\Local\FSDART Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Tak, zadania wykonane. Skasuj z Pulpitu folder frst. Temat rozwiązany. Zamykam.

AdwCleaner znalazł jeszcze drobne szczątki adware. Uruchom go ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń, dostarcz wynikowy log z usuwania.

Wander Burst wyglądał na starą instalację, datowanie komponentów na lipiec 2015. Fix FRST pomyślnie wykonany. AdwCleaner wykrył jeszcze szczątki adware, toteż uruchom go ponownie, wybierz po kolei opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia.

Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

AdwCleaner miałeś pobrać z podanego linka i uruchomić wg wskazówek...

AdwCleaner nic nie wykrył. Kończymy: 1. Skasuj ręcznie pobrany FRST i jego logi z D:\FOLDER POBIERANIA\frst. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj Adobe Flash Player 20 ActiveX do najnowszej wersji. W w/w linku jest link pobierania.

AdwCleaner wykonał swoje zadania, a serwery DNS są już poprawne. Na koniec standardowe kroki: 1. Usuń z G:\Narzedzia pobrane skanery i ich logi. Następnie skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji poniższe programy. Linki pobierania również w w/w odnośniku. ==================== Zainstalowane programy ====================== Adobe Reader XI (11.0.08) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated) Java 8 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218060F0}) (Version: 8.0.600.27 - Oracle Corporation)

Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

AdwCleaner wykonał zadania w sposób kompletny. Kończymy: 1. Usuń z Pobranych folder Frrr z FRST i jego logami. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare wersje Adobe Flash i Java. Najnowsze pod tym samym w/w linkiem. ==================== Zainstalowane programy ====================== Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.305 - Adobe Systems Incorporated) Java 7 Update 51 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417051FF}) (Version: 7.0.510 - Oracle) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle)

AdwCleaner wykrył jeszcze drobne szczątki adware. Uruchom go ponownie, tym razem po kolei zaznacz Skanuj + Usuń i dostarcz log wynikowy z czyszczenia.

W raportach nic podejrzanego, żadnych oznak infekcji. PS. Do wykonania skrypt kosmetyczny usuwający puste wpisy i skróty plus czyszczący Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {38062ECB-3FCE-4CBF-93D7-F9CAD7262D7B} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {45EC4FE0-045D-4469-AC8A-93E064A6C772} - System32\Tasks\{268D8C41-152B-4EE7-824C-EDA1250EB2DA} => pcalua.exe -a C:\Users\Marcin\Desktop\winsdk_web.exe -d C:\Users\Marcin\Desktop Task: {A3AC532F-3628-44DC-BE01-481A7ED6CEC3} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe HKLM-x32\...\Run: [iTSecMng] => %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\Policies\Explorer: [] HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\MountPoints2: {d7b99d40-11ca-11e5-ae10-806e6f6e6963} - G:\Setup.exe nonauto HKU\S-1-5-21-4055069894-3430905193-1362563562-500\...\Run: [LightScribe Control Panel] => C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Gaming Evolved.lnk C:\Users\Hubert\Desktop\gta_sa — skrót.lnk C:\Users\Hubert\AppData\Local\Microsoft\Windows\GameExplorer\{C047D1C1-737A-45D0-937A-E9914F7E7A3C} C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander 64 bit.lnk C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Android SDK Tools EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne.