picasso

Fix pomyślnie wykonany. Kolejne poprawki na wyniki wyszukiwania w rejestrze. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome\NativeMessagingHosts\com.qq.qmchext DeleteKey: HKLM\SOFTWARE\WOW6432Node\Tencent DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Tencent Reg: reg delete HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\SHC /v 0 /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. I jakoś przeoczyłam, że nie podałeś pliku FRST Shortcut. Dorzuć go.

Ten plik Fixlog ma bardzo dziwną zawartość, która w ogóle nie potwierdza że wklejono podany przeze mnie tekst do Notatnika. Otwórz go, w nim są "same zera". Powtórz operację. Oczywiście. I załatwmy to w tym temacie.

Brakuje głównego raportu FRST.txt. Uzupełnij.

Widzę tylko drobne szczątki adware Tencent. Zadam też reset ustawień Edge. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSDefenseBT64.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku Task: {1C88472F-7AE8-4148-BE6D-FC4B0C696599} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {26589765-2AC6-47BE-806C-E798EB64C4FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2E62F1F4-4CB0-4ADC-B4E2-1F66548D749F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {3116CDEE-6163-490C-8557-7A415BD86EA5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {40943A3C-838D-4C74-9E91-80B54CB9C424} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {49AFB004-2C12-4AD8-82E5-22489CFBA1D0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {5DE58182-FA5F-43EC-8AB8-5E4378C48412} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {70E81956-0A4D-4A41-AE31-6F800A27C96A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {9C1DDC58-DF39-44F1-9958-0547779CABFA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {ADAB1B1B-2CD6-4DD3-A0AC-CA2C90E8BE7E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D8A9AC46-2C32-4FA0-8ECD-A1C39722D31F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-03-01] ManualProxies: C:\Program Files (x86)\Tencent C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\HP\AppData\Roaming\Tencent C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\TFsFltX64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Potwierdź też, że w Edge przestały się ładować niepożądane strony. 2. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. QQPCMgr;Tencent

Infekcja została pomyślnie usunięta, zgłoszenia raportowane wcześniej powinny ustać. Natomiast nie zostały zresetowane zgodnie z planem wszystkie wejścia Google Chrome i nadal w konfiguracji ładują się odpadki adware: CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4 CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4","hxxp://home.sweetim.com/?crg=3.1010000&st=12&barid={5A41FD70-A53D-434C-975F-5B7B5B667113}","hxxp://do-search.com/?type=hp&ts=1432454299&z=1f9bc17b04fb7a2aff2a4a0g5z3cdo7zcwbzeodq3o&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434","hxxp://www.istartsurf.com/?type=hp&ts=1433940339&z=2cf5db7b1000730097babf7g0z4c2c7tfz1e4c5e0e&from=cornl&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434" Pod tym kątem: Zresetuj synchronizację (o ile włączona), punkt 2: Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.babylon.com

Nic tu nie wskazuje, by w systemie była jakakolwiek infekcja, a skany dobrymi narzędziami potwierdziły już ten stan. Aczkolwiek nie został podany log z GMER. Prawdopodobnie zgłoszenie "podłączenia do botnetu" wypływa z aktywności innego komputera w sieci w której jesteś, a nie Twojego. Nie mam tu za bardzo czym się zajmować. Do wykonania tylko mały kosmetyczny skrypt usuwający drobne puste wpisy i czyszczący lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [HotKeysCmds] => C:\windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\windows\system32\igfxpers.exe SearchScopes: HKU\S-1-5-21-4286887730-1492350271-2724356993-1002 -> DefaultScope {360D2864-5DBA-4042-85BF-70750DAD2BCC} URL = SearchScopes: HKU\S-1-5-21-4286887730-1492350271-2724356993-1002 -> {360D2864-5DBA-4042-85BF-70750DAD2BCC} URL = CMD: type C:\ProgramData\MakeMarkerFile.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRSt nie są mi potrzebne.

W większości instrukcje poprawne. Ale mam uwagi do podanego skryptu: - Komenda "netsh advfirewall reset" nie miała prawa się wykonać, gdyż aplikuje się tylko dla systemów Vista i nowszych. Na XP należy użyć "netsh firewall reset". - Wszystkie wpisy grupy Policies\Explorer to był "naturalny" składnik tego konkretnego XP. Posiadasz niestandardowy Windows instalowany z modyfikowanej płyty zrobionej za pomocą nLite. Te wszystkie uszkodzenia to też skutek wycinania komponentów: Obecnie raporty nie wykazują, by robak Brontok był aktywny (tylko dwa foldery w Danych aplikacji widoczne i to dokasujemy potem), ale: 1. Brontok tworzy w predefiniowanych folderach multum plików-falsyfikatów powtarzając nazwę folderu w którym są. Przypadkowe uruchomienie takiego pliku przywraca infekcję. Log FRST jest bardzo selektywny i na jego podstawie nie da się stwierdzić gdzie takie pliki są. Jest niezbędny kompleksowy skan całego Windows. Został podany skan Malwarebytes, czy on został wykonany w trybie pełnym? 2. System nadal w krytycznym stanie aktualizacji: Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Język: Polski Internet Explorer Wersja 7 (Domyślna przeglądarka: IE) Zainstaluj ręcznie conajmniej SP3 + IE8 posiłkując się linkami w przyklejonym: KLIK. Z tym że to i tak za mało, brak wielu innych aktualizacji wydanych po i tu będzie problem w związku z tym, że w XP tym wycięto system automatycznych aktualizacji. Prawdopodobnie jest naruszone więcej niż tylko usługa i jej odbudowa to będzie za mało.

Usunęłam nadwyżkowe logi FRST, te wyciągnięte z folderu C:\FRST\Logs. Bieżące raporty powstają zawsze tam skąd uruchamiasz FRST, w tym przypadku folder Pobrane. Jest tu mnóstwo obiektów adware, nie tylko tytułowy yoursites123, m.in. ogromna ilość sterowników z grupy Sambreel i powinieneś notować poważne problemy przy nawigacji internetowej. Poza tym, widnieje niepoprawnie odinstalowany McAfee. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {00aec75d-051f-41a9-9837-e94ac4f56303}w64; C:\Windows\System32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}w64.sys [48784 2014-10-15] (StdLib) R1 {02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64; C:\Windows\System32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}w64.sys [48784 2014-10-17] (StdLib) R1 {10e3e2da-8f7b-42cc-9f00-90007ce494b8}w64; C:\Windows\System32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}w64.sys [48832 2014-11-07] (StdLib) R1 {1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64; C:\Windows\System32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}w64.sys [48784 2014-10-13] (StdLib) R1 {255a824a-3cde-4dee-9785-284605606456}w64; C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}w64.sys [48832 2014-10-28] (StdLib) R1 {3b808196-ff63-49ee-b33b-efdf51723eca}w64; C:\Windows\System32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}w64.sys [48784 2014-10-13] (StdLib) R1 {3cac76e7-8310-45ea-8277-96d048a78c60}w64; C:\Windows\System32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}w64.sys [48784 2014-11-27] (StdLib) R1 {3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64; C:\Windows\System32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}w64.sys [48784 2014-10-17] (StdLib) R1 {4530e639-76ab-4435-889d-a5e81ae090a4}w64; C:\Windows\System32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}w64.sys [48784 2014-10-20] (StdLib) R1 {51365faa-196b-4544-91d5-04a729ae9395}w64; C:\Windows\System32\drivers\{51365faa-196b-4544-91d5-04a729ae9395}w64.sys [48784 2014-11-26] (StdLib) R1 {51b9c91c-8e38-40ae-80de-58a590512b6b}w64; C:\Windows\System32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}w64.sys [48832 2014-11-10] (StdLib) R1 {5d78e0ee-ca60-46a4-9492-4f24429cc925}w64; C:\Windows\System32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}w64.sys [48784 2014-10-17] (StdLib) R1 {67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64; C:\Windows\System32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}w64.sys [48784 2014-10-20] (StdLib) R1 {733fb217-c049-41ba-9504-3f2045e61977}w64; C:\Windows\System32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}w64.sys [48784 2014-10-21] (StdLib) R1 {871a812f-cd37-4983-9b44-0ab62f735457}w64; C:\Windows\System32\drivers\{871a812f-cd37-4983-9b44-0ab62f735457}w64.sys [48784 2014-11-29] (StdLib) R1 {b0c7827f-c845-429a-833b-c2a798fc4fc3}w64; C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}w64.sys [48784 2014-10-27] (StdLib) R1 {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64; C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys [48784 2014-09-28] (StdLib) R1 {bf42a736-9bd4-4575-b45b-11d4dd6a3399}w64; C:\Windows\System32\drivers\{bf42a736-9bd4-4575-b45b-11d4dd6a3399}w64.sys [48784 2014-11-30] (StdLib) R1 {d997fcb4-42b4-4f84-a147-2e498567c954}w64; C:\Windows\System32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}w64.sys [48784 2014-11-29] (StdLib) R1 {dc592624-f532-4311-9fc7-6920126fc404}w64; C:\Windows\System32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}w64.sys [48784 2014-10-22] (StdLib) R1 {e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64; C:\Windows\System32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys [48784 2014-10-12] (StdLib) R1 {e9629596-2cbd-4eea-9329-7470e8b0fdae}w64; C:\Windows\System32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}w64.sys [48784 2014-10-12] (StdLib) R1 {f5d136d7-adc2-4c84-85b2-e564334ab0bc}w64; C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}w64.sys [48784 2014-10-22] (StdLib) R1 {f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}w64; C:\Windows\System32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}w64.sys [48832 2014-11-03] (StdLib) R1 {fc7329ef-e953-454c-8e78-ed2cf0acb2ef}w64; C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}w64.sys [48832 2014-11-01] (StdLib) R1 {fce396ae-d8d1-4789-946e-2106fbe4292b}w64; C:\Windows\System32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}w64.sys [48784 2014-10-19] (StdLib) R1 F06DEFF2-5B9C-490D-910F-35D3A91196222; C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc3.cfg [46160 2014-12-15] (SafetyNut Inc) R2 IhPul; C:\Users\Rodzice\AppData\Roaming\TSv\TSvr.exe [116368 2016-03-17] (tsvr.com) R2 MaintainerSvc1.20.7247763; C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b\maintainer.exe [128232 2015-10-23] () R2 SafetyNutManager; C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe [3574480 2014-12-15] (SafetyNut Inc) R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [294912 2016-03-17] (TFuns LIMITED) [brak podpisu cyfrowego] U1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] U1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] U1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\safetycrt.dll [669392 2014-12-15] () HKLM\...\Run: [HotKeysCmds] => C:\WINDOWS\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\WINDOWS\system32\igfxpers.exe Task: {004F1281-CFF1-4E98-B180-D8C306409B1C} - System32\Tasks\{4DA15624-6037-4F93-BDD6-3F136050A6BA} => Firefox.exe hxxp://ui.skype.com/ui/0/6.22.81.104/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {4FFA5D67-60F1-4E02-9F21-0B730B12C232} - System32\Tasks\{6CF022DC-B2C0-4F02-B7E4-51E77CA4D868} => Firefox.exe hxxp://ui.skype.com/ui/0/6.22.81.104/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {FB33CE0A-A13D-4C73-98E3-E5079C262E87} - System32\Tasks\Lenovo\Lenovo GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467 HKU\S-1-5-21-785319261-2855401731-2711227746-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458417134&z=edddbf22edf8342f74a9281g2zfw7baz6g2m4gac2e&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a15007-473&apn_uid=5555239400134351&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457960600&z=a24fe9d0c666d95bf162674g3z5w1m6t2q0e5w3t2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDA22467&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a15007-473&apn_uid=5555239400134351&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Rodzice\AppData\Roaming\Mozilla\Firefox\Profiles\t5e3fq3j.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Rodzice\AppData\Roaming\Mozilla\Firefox\Profiles\t5e3fq3j.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Rodzice\AppData\Roaming\Mozilla\Firefox\Profiles\t5e3fq3j.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => nie znaleziono Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-05-15] (Lenovo) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\genesis_09281008 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Browser Tab Search by Ask C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\qksee C:\Program Files (x86)\mozilla firefox\browser\searchplugins C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\4WdM4 C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b C:\ProgramData\MWdMM C:\ProgramData\SafetyNut C:\ProgramData\WWdsManProW C:\Users\Rodzice\AppData\Roaming\TSv C:\WINDOWS\SysWOW64\123.html C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\_tWm C:\Windows\System32\drivers\{*}w64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj odpadek po McAfee Shared C Run-time for x64. Następnie zastosuj firmowe narzędzie McAfee Consumer Product Removal Tool. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

- "Miałem już to wyłączone" - Czy to oznacza, że w linii Typ uruchomienia figuruje "Wyłączone", czy może chodzi o to, że stan był już "Zatrzymana"? - By widzieć folder "Appdata", należy mieć włączone pokazywanie ukrytych folderów w Opcjach folderów.

Reset bufora DNS i tak został załączony w skrypcie FRST, więc przejdź do dalszych czynności.

Nie szkodzi. Jak napisałam wcześniej:

Temat przeniosę, tylko nie wiem gdzie jeszcze. Nie wygląda by chodziło tu o infekcję. Z raportów nic też konkretnego nie wynika. Jedyne co się rzuca w oczy, to ten błąd zawieszenia usługi: Error: (03/25/2016 10:07:46 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (03/25/2016 10:07:46 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Wstępnie przeprowadź czynności resetu buforu czcionek rozpisane tutaj: KLIK. Przy czym wykonaj nawigację stopniową do podanej ścieżki C:\Windows\ServiceProfiles\LocalService\AppData\Local, nie wklejaj jej w całości bezpośrednio w eksploratorze, gdyż nie zostanie znaleziona. Podczas wchodzenia stopniowo głębiej pojawią się komunikaty o braku dostępu które należy potwierdzić.

Multum obiektów adware i zmienione serwery DNS. Przeprowadź następujące operacje: 1. Odinstaluj: - Adware: DNS Unlocker version 1.4, Foxy Secure, Gameo, Reimage Repair, Search App by Ask, Shopping App by Ask, Sparta, WarThunder, Yahoo! Search. - Stare wersje i zbędniki: ClamWin Free Antivirus 0.98.7, Java 8 Update 40, Java 8 Update 74, PC Mechanic. Jeśli coś będzie niewidoczne lub zwróci błąd, kontynuuj. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Lightzap\Can-Trax.dll => C:\ProgramData\Lightzap\Can-Trax.dll [320512 2015-11-28] () HKLM-x32\...\Run: [ApnTBMon] => "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe" HKU\S-1-5-21-2273012611-303174682-3880648035-1000\...\Run: [Gameo] => C:\Users\Admin\AppData\Roaming\Gameo\gameo.exe [42482176 2015-07-04] () Task: {0B42EA5C-ABD5-4288-81D3-F897D7D81160} - System32\Tasks\PC-Mechanic Maintenance => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe [2015-01-28] (Uniblue Systems Limited) Task: {12FB840A-516D-4C0D-815A-6C8DC22C81E0} - System32\Tasks\{FD5AE810-2139-4881-A66B-5A088D55CF93} => pcalua.exe -a C:\Users\Admin\Downloads\clamwin-0.98.7-setup_(www.programki.pl).exe -d C:\Users\Admin\Downloads Task: {2FFB3E57-8D29-4798-BD7D-1E17D2479AF6} - System32\Tasks\DNSKALAMAZOO => dnskalamazoo.exe Task: {4B1D622B-DF14-468B-9D62-54CEE03DCFA1} - \new_game_notification_service -> Brak pliku Task: {4FBC4ECC-270B-49B1-9A97-CBB7350CA088} - System32\Tasks\PC-Mechanic Subscription => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe [2015-01-28] (Uniblue Systems Limited) Task: {668DE9A9-58CF-49D9-87D1-3AA832C86B09} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe Task: {76DD9942-C71D-4EEA-8396-F95DC772354B} - System32\Tasks\PC-Mechanic Startup => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe [2015-01-28] (Uniblue Systems Limited) Task: {8D89ADD1-71FD-4837-BD04-1A76E60C7784} - \Yahoo! Search -> Brak pliku Task: {B23C871F-F5E7-4AA5-A699-38867DE8F1F1} - \Yahoo! Search Updater -> Brak pliku Task: {E1AFD920-8078-4E2E-9787-73199C554D27} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2015-11-10] (Reimage ltd.) Task: {F70DFA71-3345-4C4C-A6AF-5D891F007912} - System32\Tasks\godzilla_shopper_helper_service => C:\Program Files (x86)\Godzilla Shopper\godzilla_shopper_helper_service.exe Task: {F9B7044B-C3B1-44A1-9357-04FA06BC6629} - \new_game_updating_service -> Brak pliku Task: C:\Windows\Tasks\godzilla_shopper_helper_service.job => C:\Program Files (x86)\Godzilla Shopper\godzilla_shopper_helper_service.exe Task: C:\Windows\Tasks\new_game_notification_service.job => C:\Program Files (x86)\new game\new_game_notification_service.exeǤ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='new game' /appid='73143' /srcid='2913' /bic='88ab7bbd29a2cfbab6c5a76d39948d0a' /verifier='7ca80c4d88f6116717d8ce6de10fe5d1' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\new_game_updating_service.job => C:\Program Files (x86)\new game\new_game_updating_service.exe© /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=new_game_updating_service /funurl=hxxp:/stats.buildomserv.com Task: C:\Windows\Tasks\PC-Mechanic Maintenance.job => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe Task: C:\Windows\Tasks\PC-Mechanic Startup.job => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe Task: C:\Windows\Tasks\PC-Mechanic Subscription.job => C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe S2 APNMCP; "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe" [X] S3 cpuz134; \??\C:\Users\Admin\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2cpRp5O5qg8vlTQdLi_A3QTnwr-weV-7NQ1WfXyTG4A9mM6kYat6TtObboPPlCaGzpcFdSFLApx9g,, CHR StartupUrls: Default -> "hxxp://www.mysites123.com/?type=hp&ts=1452530008&z=acb9cad27bc97f5eb3a77b4g2z9w4o5w3c1e1e9e3b&from=amt&uid=st500dm002-1bd142_z2ayqqqaxxxxz2ayqqqa" CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2clMAWWuX5ai2bPJrmO66GgwCD0zh8Cv7RUsoXahXwxg-B9Iluz7tocuIg2Efej23IELNIlpnjfKA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2273012611-303174682-3880648035-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms} HKU\S-1-5-21-2273012611-303174682-3880648035-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKU\S-1-5-21-2273012611-303174682-3880648035-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://search.avast.com/AV772/ HKU\S-1-5-21-2273012611-303174682-3880648035-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2cydYP5POUdtvJZy4Mypu8uKOyVX_rKWf6I6_uYCcBfXeUJHJYi8n12wDOvBGI3a6PF04rFadAPzg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2cydYP5POUdtvJZy4Mypu8uKOyVX_rKWf6I6_uYCcBfXeUJHJYi8n12wDOvBGI3a6PF04rFadAPzg,,&q={searchTerms} SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> D735241F7F874887B9EF63F4A7F61B79 URL = hxxp://www.bing.com/search?FORM=U218DF&PC=U218&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://q.search-simple.com/?affID=pr_01ad000c-f598-40c5-9bfd-2bc7e87ec7be&q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csSWwKIf0jRaXmSECqDhR3_S1HL-G6B4HLUqwfsieeCNTR8ViWaXyESVMiRUfb8mL2cydYP5POUdtvJZy4Mypu8uKOyVX_rKWf6I6_uYCcBfXeUJHJYi8n12wDOvBGI3a6PF04rFadAPzg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Program Files\Essentware C:\Program Files\Reimage C:\Program Files\Symantec C:\Program Files\Common Files\Symantec Shared C:\Program Files (x86)\DNS Unlocker C:\Program Files (x86)\Godzilla Shopper C:\Program Files (x86)\Mozilla Firefox\my.cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\Norton Internet Security C:\Program Files (x86)\Norton PC Checkup C:\Program Files (x86)\NortonInstaller C:\ProgramData\{08e235cf-712c-0} C:\ProgramData\{08e235cf-712c-1} C:\ProgramData\{1097c2c1-412c-0} C:\ProgramData\Essentware C:\ProgramData\f4f6b501 C:\ProgramData\Lightzap C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Reimage Protector C:\ProgramData\Microsoft\Windows\GameExplorer\{A365DE48-2DF3-4EDA-8BE3-DA8483A23B25} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kao - 2nd round (demo) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Ravia.eu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton PC Checkup C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\rei C:\Users\Admin\AppData\Local\Ranktom.dat C:\Users\Admin\AppData\Local\AEFF2680-1452531350-11DD-920E-3085A98D4FF2 C:\Users\Admin\AppData\Local\AEFF2680-1452528769-11DD-920E-3085A98D4FF2 C:\Users\Admin\AppData\Local\Gameo C:\Users\Admin\AppData\Local\Steam\htmlcache C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{A365DE48-2DF3-4EDA-8BE3-DA8483A23B25} C:\Users\Admin\AppData\Roaming\*.* C:\Users\Admin\AppData\Roaming\Gameo C:\Users\Admin\AppData\Roaming\HTThread C:\Users\Admin\AppData\Roaming\Security Systems C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher\Duel of Champions Launcher Website.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Admin\Desktop\Zdjecia\Kao - 2nd round (demo).lnk C:\Users\Admin\Downloads\6587.tmp C:\Users\Admin\Downloads\ReimageRepair.exe C:\Windows\system32\Drivers\NISx64 C:\Windows\system32\Drivers\NortonPCCheckupx64 C:\Windows\Reimage.ini DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy CMD: for /d %f in ("C:\Program Files (x86)\AEFF2680-*") do rd /s /q "%f" CMD: for /d %f in (C:\ProgramData\4bdbe351-*) do rd /s /q "%f" CMD: for /d %f in (C:\ProgramData\e7c2fe2e-*) do rd /s /q "%f" CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj mysafetabsearch, o ile nadal będzie widoczny. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Round World, SuperPlusRadio v2.1V28.02 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Błąd tworzy adware PriceFountain w Harmonogramie, ale jest w systemie znacznie więcej śladów, w tym po bardzo starych adware sprzed kilku lat. Ponadto, jest tu strasznie stary (z 2011!) i scrackowany ESET, który należałoby później wymienić czymś nowoczesnym. Wykonaj następujące czynności: 1. Odinstaluj wstępnie zbędniki i starocie: Japanese Fonts Support For Adobe Reader 9, McAfee Security Scan Plus, MiPony 2.1.0, MyFreeCodec. Natomiast wejścia uszkodzonych programów adware doczyści poniższy skrypt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=04F70060B3077712&affID=125032&tsp=5118 CHR StartupUrls: Default -> "hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=04F70060B3077712&affID=125032&tsp=5118" CHR DefaultSearchURL: Default -> hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir= CHR DefaultSearchKeyword: Default -> mysearchdial.com HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140825 HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxAX3mng3QUIQYMVDcUQqWUvE2B6tMJOZLhCcmXsT5wre4vOmIAzV-bhZFahSfaRYKck4hEKlxm0FPzkKEqEWcSYdt4, HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} HKU\S-1-5-21-776561741-682003330-1801674531-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir= SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ironmsd04&cd=2XzuyEtN2Y1L1QzutDtDyCtD0BtAtDyByByBtCtB0AtB0CyBtN0D0Tzu0SyEzytBtN1L2XzutBtFtBtFtCtFyDtCyDtN1L1Czu1L1C1F1G1H1B1QtDyE&cr=151932893&ir= SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.delta-search.com/?q={searchTerms}&affID=119776&babsrc=SP_ss&mntrId=04F70060B3077712 SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-776561741-682003330-1801674531-1004 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpLrONhdgr5GsRUKIreLyzcns2JIqpy1hiyGNfEEbyzaCjF931KICGX9kgnCdCqpOxw9Y1HEQEaCqGFk6CFJeqalVyUKH9xscESK5NHAgID2MLWSc5Gl3PAFzqsSMOthe1j2-_BvlGFGi6I1UKf8q09lJRE,&q={searchTerms} FF Plugin: @alawar.com/npapi -> H:\WINDOWS\npapi.dll [2014-01-29] (Alawar) FF Plugin: @pandonetworks.com/PandoWebPlugin -> H:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - H:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Task: H:\WINDOWS\Tasks\DriverDoc_UPDATES.job => H:\Program Files\DriverDoc\Solvusoftdd.exe Task: H:\WINDOWS\Tasks\RMAutoUpdate.job => H:\Program Files\PC Tools Registry Mechanic\SULauncher.exe Task: H:\WINDOWS\Tasks\RMSchedule.job => H:\Program Files\PC Tools Registry Mechanic\RegMech.exe Task: H:\WINDOWS\Tasks\WojtekSherlocksBabkaV2.job => H:\WINDOWS\system32\rundll32.exePleaseRatline.dll AppInit_DLLs: H:\DOCUME~1\ALLUSE~1\DANEAP~1\Viatax\Truebam.dll => Brak pliku S2 Viatax; H:\Documents and Settings\All Users\Dane aplikacji\\Viatax\\Viatax.exe shuz -f "H:\Documents and Settings\All Users\Dane aplikacji\\Viatax\\Viatax.dat" -l -a S3 GMSIPCI; \??\G:\INSTALL\GMSIPCI.SYS [X] S3 ZDCndis5; \??\H:\WINDOWS\system32\ZDCndis5.SYS [X] S3 ZDPNDIS5; \??\H:\WINDOWS\system32\ZDPNDIS5.SYS [X] HKLM\...\Run: [] => [X] HKLM\...\Run: [DivXMediaServer] => H:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe HKU\S-1-5-21-776561741-682003330-1801674531-1004\...\Run: [ChicaPasswordManager] => "H:\Program Files\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned HKU\S-1-5-21-776561741-682003330-1801674531-1004\...\Run: [AirDroid 3] => H:\Program Files\AirDroid\AirDroid.exe /start DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Price Fountain DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FB199703-4327-4CA8-BD37-FF99D3F05BCC} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f H:\Documents and Settings\All Users\Menu Start.lnk H:\Documents and Settings\All Users\Dane aplikacji\TEMP H:\Documents and Settings\All Users\Dane aplikacji\Viatax H:\Documents and Settings\All Users\Dane aplikacji\Viataxs H:\Documents and Settings\All Users\Menu Start\Programy\3DO H:\Documents and Settings\Wojtek\Dane aplikacji\*.* H:\Documents and Settings\Wojtek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\ChomikBox (2).lnk H:\Documents and Settings\Wojtek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Facebook.lnk H:\Documents and Settings\Wojtek\Dane aplikacji\Mozilla\Firefox\profiles\extensions H:\Documents and Settings\Wojtek\Dane aplikacji\PriceFountain H:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\SherlocksBabka H:\Program Files\Common Files\PhysTinfan H:\Program Files\Mozilla Firefox\extensions H:\Program Files\Mozilla Firefox\plugins H:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension H:\WINDOWS\system32\findit.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition (bez Shortcut). Dołącz też plik fixlog.txt.

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu i wykonaj pełną aktualizację Windows: KLIK.

Raport FRST zrobiony nie na tych ustawieniach, które są tu na forum w instrukcjach. Opcje Lista BCD i MD5 sterowników nie mają być zaznaczone. Adware PriceFountain jest montowane w Harmonogramie zadań, zasięg globalny, więc reklamy będą występować w każdej przeglądarce. Akcja do przeprowadzenia: 1. Odinstaluj zbędny program HP Deskjet 3510 series — badanie mające na celu poprawę produktów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {102BAD74-4F6D-4F8D-A228-A9E3A5F8AACD} - System32\Tasks\EnfiladesSignificantlyV2 => Rundll32.exe EntombDibbuk.dll,main 7 1 Task: {13B156DD-D031-4FEF-AF08-AFEEFC031C98} - System32\Tasks\{C9008B7F-A4B5-4A2D-B24B-B5F8D53236BD} => pcalua.exe -a J:\instmsiw.exe -d J:\ Task: {97B1E69B-2C99-47AA-934F-DFFC5E288AE0} - System32\Tasks\{690C62C0-3E96-4140-A619-BE8E24FBE8D4} => Chrome.exe Task: {C6B89C6F-9EDE-4884-BEA4-A198192CD4F3} - System32\Tasks\{0F19099C-ACB0-4AB7-B703-6E6256A5B2B9} => pcalua.exe -a C:\Users\Dawid\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=cornl S2 BBSvc; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BBSvc.exe [X] S3 BBUpdate; C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\SeaPort.exe [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] HKU\S-1-5-21-486512578-4224766929-2653693065-1000\...\Run: [RGSC] => D:\Program Files\Gry\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-486512578-4224766929-2653693065-1000\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-486512578-4224766929-2653693065-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-004-752 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-486512578-4224766929-2653693065-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} HKU\S-1-5-21-486512578-4224766929-2653693065-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-004-752 HKU\S-1-5-21-486512578-4224766929-2653693065-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-004-752 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} SearchScopes: HKU\S-1-5-21-486512578-4224766929-2653693065-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} SearchScopes: HKU\S-1-5-21-486512578-4224766929-2653693065-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-486512578-4224766929-2653693065-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-004-752&q={searchTerms} BHO-x32: Brak nazwy -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> Brak pliku CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://www.google.com/?trackid=sp-004-752" FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Dawid\AppData\Local\EnfiladesSignificantly RemoveDirectory: C:\Users\Dawid\Downloads\FRST-OlderVersion EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Czy na pewno problem reklam nadal występuje po użyciu AdwCleaner? Jedyne co tu widzę, to Popcorn Time (w niektórych źródłach klasyfikowany jako program z adware). A spowolnienie systemu to musi być z innej przyczyny, być może ten świeżo doinstalowany / aktualizowany Avast bruździ. Wstępnie: 1. Odinstaluj zbędny Akamai NetSession Interface oraz Popcorn Time. Natomiast pod kątem opornego SpyHuntera skorzystaj z narzędzia SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 cpuz134; \??\C:\Users\aaa\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] U3 tmlwf; Brak ImagePath U3 tmwfp; Brak ImagePath S3 U46WDM1_01; system32\DRIVERS\U46wdm.sys [X] S1 U46_AA; system32\DRIVERS\U46DRV.sys [X] Task: {0738362A-D40F-40C4-AD47-79761F50F0C4} - System32\Tasks\{CE15E7A2-95F1-4B80-A42D-3B49EF0B2E76} => pcalua.exe -a C:\Users\aaa\Downloads\GyroMouse.exe -d C:\Users\aaa\Downloads Task: {09C56AEC-8DDE-49E0-A9C4-1B41C9A753BD} - System32\Tasks\{685797C1-9431-4EDF-98D3-32BAF9D0687C} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {0E797C26-A100-42D4-90BE-A4B8838A95DE} - System32\Tasks\{86F3E347-6725-4AEC-81C1-05E29C541A6E} => pcalua.exe -a C:\Users\aaa\Desktop\MixmanStudioMP3.exe -d C:\Users\aaa\Desktop Task: {15A43132-0A89-4EAA-B872-7256FA654BFF} - System32\Tasks\{8EBDDD23-B682-440C-AC1B-E8643E829918} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {18E6840C-6498-4AAD-822B-6A2B395C8CA1} - System32\Tasks\{52E67DE2-E606-459C-9AC1-25BAFBFEED1E} => pcalua.exe -a C:\Users\aaa\Downloads\setup-PDB-ED1.5.exe -d C:\Users\aaa\Downloads Task: {43660526-09B0-4BC5-9F8C-57B88A5196A1} - System32\Tasks\{DC3696E2-0C94-4C5B-9FDE-57FBED626467} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -c -runfromtemp -l0x0015 -removeonly Task: {5920DE58-723F-48E1-AFCA-2948500930A9} - System32\Tasks\{7289E6E1-7CB5-4795-8AED-489EDA9CD239} => C:\Users\aaa\Downloads\TS3_1.67.2.0240xx_update.exe Task: {5AB58A12-426E-45B6-BCCD-A7FD7D17C2F2} - System32\Tasks\{197A2732-AD26-49B7-A6F4-622BEDF27736} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {6A8F3DAC-900B-4EC5-BA11-8622EEEDB903} - System32\Tasks\{53EB1DD7-86F5-41E5-BC24-B98CEC96777B} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {6B95C76C-8DF5-4865-A9F2-F42A34540FAC} - System32\Tasks\{DE3164A2-7E9D-415F-A146-CF37EF84200A} => pcalua.exe -a C:\Users\aaa\Desktop\Sims3EP05Setup.exe -d C:\Users\aaa\Desktop Task: {71CD52D7-ACE5-4CBF-B262-5417FD849E46} - System32\Tasks\{A65177A1-9E44-4C8B-BA34-DB6FF70E684C} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {72BB8ED2-6DB9-4FC8-A40C-37D5CC5C937B} - System32\Tasks\{4A7EAF56-4EB8-4412-8423-E576D9D50DAA} => pcalua.exe -a C:\Windows\snuninst.exe -c /name='USB2.0 UVC VGA WebCam' Task: {78239E01-BDB8-4866-AC19-288EB4D6C2D8} - System32\Tasks\{1A998398-0486-411F-A34C-E2D83B909C0D} => pcalua.exe -a C:\Users\aaa\Downloads\wlsetup-web.exe -d C:\Users\aaa\Downloads Task: {7D38F400-1AB1-4E92-A27B-B04C3DC17BC6} - System32\Tasks\{831FD31F-DF1F-44CF-A719-E0126BD80A05} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {835614CA-CD0D-48B8-AD10-1ABA42A5AA75} - System32\Tasks\{8AAC17AC-ED58-4C59-BE07-D79B38777749} => pcalua.exe -a "D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe" -d "D:\DOWNLOAD\TH3\Island Paradise" Task: {8558D3C4-C340-42E3-80CD-277C3304A82F} - System32\Tasks\{9FCE15D3-4BBF-4516-8E8D-3529430E9B64} => pcalua.exe -a C:\Users\aaa\Downloads\setup-PDB-ED1.5.exe -d C:\Users\aaa\Downloads Task: {869D5DB2-E5A6-4F45-A348-86BBEF1F04CB} - System32\Tasks\{1B2CA23A-FC5B-4E3B-875F-33B0DB238FFE} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {8EDCA5CB-7AF7-4A3E-9E21-7BF29F75735B} - System32\Tasks\GridinSoft Anti-Malware => D:\AAAProgramy\GridinSoft Anti-Malware\gsam.exe Task: {995DBEE1-D998-4B05-AE60-EF23649404E8} - System32\Tasks\{310F7921-44F9-418D-8D0A-2494BFE6F8A9} => pcalua.exe -a D:\AAAProgramy\Steam\steam.exe -c steam://uninstall/42680 Task: {99FD482C-1883-4D5E-93BF-3F8E0607E0AA} - System32\Tasks\{E2532236-7AA2-49C9-8274-C27956E264F1} => pcalua.exe -a E:\SETUP.EXE -d E:\ Task: {9FB0DEF5-8CA0-4FB0-B670-DFFA9C0FF35D} - System32\Tasks\{EF22C505-4693-4E4F-9AF2-70B49EC1B506} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {C93C9D92-3BCD-420F-8016-DBCEC08DFBE4} - System32\Tasks\{E31CE0F1-7BD8-4D6E-A3E0-FCAC46D8F3FF} => pcalua.exe -a "D:\Prawo Jazdy 2011\unins000.exe" -d "D:\Prawo Jazdy 2011" Task: {D9B7F75A-DFE3-4C37-B83E-A843967E5859} - System32\Tasks\{E36B74A3-3B47-46AB-9ACF-A5C0EEDB27ED} => pcalua.exe -a C:\Users\aaa\Downloads\msicuu2.exe -d C:\Users\aaa\Downloads Task: {F57AC501-B2ED-46A1-B56D-C78F5A4FA6BD} - System32\Tasks\{9E9618DE-E449-438C-9B0B-A468AA7701A4} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe CustomCLSID: HKU\S-1-5-21-993321323-3193323119-4218094022-1001_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-993321323-3193323119-4218094022-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\aaa\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => Brak pliku HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> none HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com URLSearchHook: HKU\S-1-5-21-993321323-3193323119-4218094022-1001 - (Brak nazwy) - {60c4696a-e4eb-4d2d-9060-38928dd0b6a2} - Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-993321323-3193323119-4218094022-1001 -> DefaultScope {A3EA6799-929E-48C6-936C-25F0A789F20A} URL = FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\S-1-5-21-993321323-3193323119-4218094022-1001: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eKWEJK DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030252 C:\Program Files\Common Files\Net4Switch.ico C:\ProgramData\GridinSoft C:\ProgramData\TEMP C:\Users\aaa\AppData\Local\{8E66D97F-D53A-4214-B72D-A5D8BC1E0956} C:\Users\aaa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Osoba 1 - Chrome.lnk C:\Users\aaa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Popcorn Time.lnk C:\Users\aaa\Desktop\Programy\Google Chrome.lnk C:\Users\aaa\Desktop\Programy\GridinSoft Anti-Malware.lnk C:\Users\aaa\Desktop\Programy\Popcorn Time.lnk C:\Users\aaa\Desktop\Programy\Program uruchamiający aplikacje Chrome.lnk C:\Users\aaa\Desktop\Różne\Niepotrzebne\Drivery ASUS\Adobe Reader 9.lnk C:\Users\aaa\Desktop\Różne\Niepotrzebne\Drivery ASUS\Gadu-Gadu 10.lnk C:\Users\aaa\Downloads\FRST.exe.part C:\Users\aaa\Downloads\gsamDV.exe C:\Windows\~INSX362.EXE CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\aaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Temat przenoszę do właściwego działu Windows, gdyż problem główny nie ma związku z infekcją. Przy tym problemie zwykle pomaga usunięcie wartości IconStreams + PastIconsStream z klucza TrayNotify w rejestrze. Można to wykonać za pomocą tego narzędzia Fix-it: KLIK. PS. Dodatkowa uwaga, został tu stworzony chory układ kont, zmodyfikowano domyślne uprawnienia. Konto Gość ma uprawnienia administratora zamiast limitowanych... Administrator (S-1-5-21-4059452529-793216389-3381221860-500 - Administrator - Disabled) Gość (S-1-5-21-4059452529-793216389-3381221860-501 - Administrator - Enabled) => C:\Users\Gość HomeGroupUser$ (S-1-5-21-4059452529-793216389-3381221860-1003 - Limited - Enabled) Jola (S-1-5-21-4059452529-793216389-3381221860-1002 - Administrator - Enabled) => C:\Users\Jola UpdatusUser (S-1-5-21-4059452529-793216389-3381221860-1004 - Limited - Enabled) => C:\Users\UpdatusUser A w spoilerze doczyszczanie adware/PUP, bez związku z w/w objawem. Adware nabyłeś definitywnie z "dobrychprogramów", gdyż na dysku widać wyraźnie pobrany plik z tego serwisu zazębiający się z instalacją śmietnika. Więcej na ten temat: KLIK.

Był używany ComboFix, na ten temat: KLIK. Jest aktywne szkodliwe proxy. Akcja do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-1987687338-1427185053-578574233-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1987687338-1427185053-578574233-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer1017.exe [236816 2015-10-09] (MustangService) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-26] () S3 catchme; \??\C:\Users\MM\AppData\Local\Temp\catchme.sys [X] Task: {3ABE0B81-212D-4F38-8C4F-B6EFC5B15B52} - System32\Tasks\{3947C8DF-9A4A-4A07-B717-87DFF77C783C} => pcalua.exe -a C:\Users\MM\Desktop\sp51592.exe -d C:\Users\MM\Desktop Task: {5739525A-C487-4A44-AA3A-252197E7E499} - System32\Tasks\{7804E678-2FF3-414D-AB50-321177E0CC6C} => pcalua.exe -a C:\Users\MM\AppData\Local\Temp\Temp1_Intel_Wireless_Display_2.1.39.0.ZIP\Setup2.1.39.0.exe Task: {5BF89149-01D5-4F8A-9F6A-47517979A1E5} - System32\Tasks\{623107F3-8A37-42FD-AEE0-AB2B10633D09} => pcalua.exe -a C:\Users\MM\AppData\Local\Temp\Temp1_BASW-83377A4X.ZIP\Recovery\setup.exe Task: {B6F2BB79-B03F-4C44-B07C-99404FCDE2FF} - System32\Tasks\{853BB266-44D1-40A8-9620-590FDD24C43E} => pcalua.exe -a "C:\Users\MM\Desktop\Nowy folder\QCA_WLAN_Driver_1.0.0.1\setup.exe" -d "C:\Users\MM\Desktop\Nowy folder\QCA_WLAN_Driver_1.0.0.1" Task: {CC5F4029-03C0-4B1D-9013-F771C3441F1C} - System32\Tasks\{F66FE972-9DDE-4CFC-A9F3-65A97DB0A73D} => pcalua.exe -a C:\Users\MM\AppData\Local\Temp\Temp1_WLAN_Intel_WXP_14.1.1.3.ZIP\setup.exe Task: {D7B529DD-511B-40F4-810D-1E1995D244D6} - System32\Tasks\{8CA6D005-CEEB-4929-8B1E-64C06C801A95} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files\Intel Corporation\Intel WiDi\WiDiApp.exe" Task: {E37F098C-C056-46B2-B0AB-67660CC99F38} - System32\Tasks\{8BBA784F-DE21-405F-B01A-A8E6CA724B14} => pcalua.exe -a C:\Users\MM\AppData\Local\Temp\Temp1_WLAN_Intel_WXP_14.1.1.3.ZIP\Driver\Setup.exe Task: {E3F65428-049D-43FA-BC6D-A2A6E97606FE} - System32\Tasks\{1302C847-B4D4-44BA-AD7D-D6B8D953B73A} => pcalua.exe -a "C:\Users\MM\Desktop\Nowy folder\QCA_WLAN_Driver_1.0.0.1\Driver\Install_sw.exe" -d "C:\Users\MM\Desktop\Nowy folder\QCA_WLAN_Driver_1.0.0.1\Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" FirewallRules: [{2D39960D-2467-4E5A-83A7-C7920441F02D}] => (Allow) C:\Users\MM\AppData\Local\Chromium\Application\chrome.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\System32\nvinit.dll" /f C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\TempMoudleSet C:\Users\MM\AppData\Local\*.txt C:\Windows\System32\drivers\EsgScanner.sys RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

W systemie jest aktywne szkodliwe proxy. Poza tym widać też różne inne szczątki adware. Działania do przeprowadzenia: 1. Odinstaluj stare wersje (luki!): Acrobat.com, Adobe AIR, Adobe Flash Player 18 PPAPI, Adobe Flash Player 20 ActiveX, Adobe Flash Player 20, Adobe Reader X (10.1.9), Adobe Shockwave Player 12.1, Java 8 Update 73, JavaFX 2.1.1, OpenOffice.org 3.3. Gdy ukończymy czyszczenie systemu, zainstalujesz najnowsze wersje. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A87A4A01-A808-431C-B79B-B8A1D8080308} - \best_deals_evaaa_helper_service -> Brak pliku Task: {B5F7EF81-01A6-45E1-B79E-9E09BDAA1103} - System32\Tasks\{B59E4CF5-3241-4F4E-B722-AA05283CBC57} => pcalua.exe -a "C:\Users\pawel\Downloads\Adobe CS4\payloads\AdobeAIR1.0\AdobeAIRInstaller.exe" -d "C:\Program Files (x86)\Common Files\Adobe\Installers\b2d6abde968e6f277ddbfd501383e02" -c -silent Task: {BE71FA46-DB6C-455F-9A17-E89037D1F7E4} - System32\Tasks\{57118BFA-572C-4C91-8EDF-35602F9D70F4} => pcalua.exe -a "C:\Program Files (x86)\Nokia\Nokia PC Suite 6\ApplicationInstaller.exe" -c "C:\Users\pawel\Downloads\SpotifyInstaller_SymbPortrait.sis" Task: {F963C32B-EB2E-46B3-BF5D-39082AEEEEF3} - System32\Tasks\Aagoau => C:\PROGRA~1\GROOVE~1\Gojsa.bat Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKU\S-1-5-21-4098247036-2222334072-374990730-1001\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku BootExecute: autocheck autochk * sdnclean64.exe StartMenuInternet: Google Chrome.RKVPIV5AXDFI653O4RXI6LODTU - C:\Users\pawel\AppData\Local\Google\Chrome\Application\chrome.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-4098247036-2222334072-374990730-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie BHO-x32: Brak nazwy -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Brak pliku Toolbar: HKU\S-1-5-21-4098247036-2222334072-374990730-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku Handler: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - Brak pliku S3 HWiNFO32; \??\C:\Users\pawel\AppData\Local\Temp\HWiNFO64A.SYS [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^pawel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acrobat Assistant 8.0 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BEWINTERNET-PLSessionManager DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desktop Disc Tool DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030258 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OfficeScanNT Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ProductUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_pl_217 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RoxWatchTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\win_en_77 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes AlternateDataStreams: C:\Users\pawel\Cookies:zSKwpgYBh8Mqi4HT9b [2386] C:\Program Files (x86)\intellidownload C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Spyware Terminator C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audiograbber C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FontUtilities C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Program Client-Server Security Agent firmy Trend Micro C:\Users\pawel\AppData\Local\app C:\Users\pawel\AppData\Local\Mozilla C:\Users\pawel\AppData\Local\Opera Software C:\Users\pawel\AppData\Local\pyeCyaxn7j C:\Users\pawel\AppData\Local\Tempfolder C:\Users\pawel\AppData\LocalLow\Company C:\Users\pawel\AppData\Roaming\Azureus C:\Users\pawel\AppData\Roaming\gplyra C:\Users\pawel\AppData\Roaming\IeceuBudoeei C:\Users\pawel\AppData\Roaming\Mozilla C:\Users\pawel\AppData\Roaming\Opera Software C:\Users\pawel\AppData\Roaming\Microsoft\Word\PLENER%20józefów%202015304964781963222151\PLENER%20józefów%202015.doc.lnk C:\Users\pawel\Start Menu\Programs\Browser Manager C:\Windows\run.vbs C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup C:\Windows\system32\asei C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Number of results Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. W Google Chrome jest ogromna ilość profilów. Ustawienia > karta Ustawienia > Osoby > skasuj wszystkie tożsamości z wyjątkiem bieżącej. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Dodatkowo, plik run.vbs został załączony do usunięcia, ale jakoś nie widać jawnie skąd się ładował. Zrób więc dodatkowe szukanie. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. run.vbs

Podstawowy problem tworzy aktywne adware Filter Results i Wordinator, ale jest więcej śmieci oraz wątpliwy skaner YAC. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware, zbędniki Lenovo i stare wersje: Adobe AIR, Amazon 1Button App, CCSDK, Filter Results, Host App Service, istartsurf uninstall, Lenovo Browser Guard, Lenovo Web Start, SHAREit, Start Menu, UESDK, Wordinator 1.10.0.17, YAC(Yet Another Cleaner!). Jeśli coś nie będzie widoczne lub zwróci błąd, kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.v9.com?type=hp&ts=1444209382&from=mych123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt CHR StartupUrls: Default -> "hxxp://www.v9.com?type=hp&ts=1444209382&from=mych123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKU\S-1-5-21-2689289588-2193139115-2762245797-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKU\S-1-5-21-2689289588-2193139115-2762245797-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKU\S-1-5-21-2689289588-2193139115-2762245797-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKU\S-1-5-21-2689289588-2193139115-2762245797-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> OldSearch URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ9dA1hEEVMXbV0LUVhcFVYaeRRZBQpEDAIXcw9bAwtJRQ1CIR9aFQQTSEcFME0FCFwEURNNfX9RDU0UU2dGM0xUFUo=&q={searchTerms} SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444209382&from=zzgbkk123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444209382&from=zzgbkk123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> OldSearch URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&ts=1434552936&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444209382&from=zzgbkk123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&ts=1434552936&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {EF2A1302-0876-49D5-849D-1C2D6F8A58A6} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&ts=1434552936&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll => Brak pliku R2 IhPul; C:\Users\Joanna\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 VisualDiscovery; C:\Program Files (x86)\Lenovo\VisualDiscovery\VisualDiscovery.exe [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" Task: {2C02BEEA-CDD4-4864-B7F1-F6B1ACBE51EB} - System32\Tasks\SweetLabs App Platform => C:\Users\Joanna\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2015-10-30] (Pokki) Task: {41184A4D-0BF3-41DF-A45F-AD7DE9A08227} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo) Task: {5B661DD2-47BB-4CBC-9D07-22BDFE29546B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-03] (Lenovo) Task: {6BCE4649-68F3-4162-A61C-38105468A1B9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) FirewallRules: [{23E2A72F-6984-48B9-926C-F2903D15D241}] => (Allow) C:\Program Files (x86)\Lenovo\SHAREit\SHAREit.exe FirewallRules: [{039CFA79-BA9E-48FD-8288-45A149DAD16E}] => (Allow) C:\Program Files (x86)\Lenovo\SHAREit\SHAREit.exe C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Wordinator_1.10.0.17 C:\Program Files (x86)\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\ProgramData\Mozilla C:\ProgramData\Pokki C:\Users\Joanna\AppData\Local\BTServer.log C:\Users\Joanna\AppData\Local\Mozilla C:\Users\Joanna\AppData\Local\SweetLabs App Platform C:\Users\Joanna\AppData\Roaming\Mozilla C:\Users\Joanna\AppData\Roaming\TSv C:\Users\Joanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw też wybraną przeglądarkę jako domyślną, gdyż aktualnie jest wyasygnowana nieistniejąca Opera. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition (bez Shortcut). Dołącz też plik fixlog.txt. Podsumuj czy problemy nadal występują.

W systemie widzę składniki adware: BingSvc (w starcie), GamerForest (w Harmonogramie zadań + sterownik) oraz różne inne odpadki. Nie wiem czy jest to powiązane z opisywanym zjawiskiem. Wstępnie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware, stare wersje, zbędniki: Adobe Flash Player 18 NPAPI, GamerForest, HP Customer Participation Program 14.0, Java 7 Update 79 (64-bit), Java SE Development Kit 7 Update 79 (64-bit), McAfee Security Scan Plus, Spybot - Search & Destroy, WebStorage. Spybot jest przestarzały i przez nikogo już niepolecany. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\...\Run: [bingSvc] => C:\Users\stan\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-29] (© 2015 Microsoft Corporation) HKLM-x32\...\Run: [] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe R2 win8gfore; C:\WINDOWS\system32\Drivers\win8gfore64.sys [44152 2015-07-14] (CodeWatch Tech) Task: {1342A886-F29C-4DAF-8723-1DEAB7EE7B9A} - System32\Tasks\GamerForest Updater => C:\Users\stan\AppData\Local\GamerForest\updater.exe [2015-08-25] (GamerForest) Task: {58E48A2C-7A4F-4C9D-A2E8-DEC3BD6E0941} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {5ABD0269-2C73-41F4-AEDB-AA2DA06868D4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {835E0373-83E0-45F0-9D28-80C55ECECF5A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File Task: {8DD37686-ED32-4360-90AF-C49DF6902383} - System32\Tasks\GamerForest Support => C:\Users\stan\AppData\Local\GamerForest\gfore_run.exe [2015-08-25] (GamerForest) Task: {905F7E86-77E7-4F9E-9A00-74C37F812B7B} - System32\Tasks\ASUS Smart Gesture Launcher => C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe Task: {91691E3A-B22B-4968-A324-23AE6068CFF1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File Task: {9A4FE020-29D9-4426-9B59-79578BDB4F3A} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe Task: {A14F99F7-5978-4A94-BE70-0345FFFC97BB} - System32\Tasks\UpdateTask => C:\Users\stan\AppData\Local\{C341F~1\UNINST~1.EXE Task: {C3810534-A781-462D-86EF-8C5540D7FC9F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File Task: C:\WINDOWS\Tasks\GamerForest Support.job => C:\Users\stan\AppData\Local\GAMERF~1\gfore_run.exe Task: C:\WINDOWS\Tasks\GamerForest Updater.job => C:\Users\stan\AppData\Local\GamerForest\updater.exe Task: C:\WINDOWS\Tasks\UpdateTask.job => C:\Users\stan\AppData\Local\{C341F~1\UNINST~1.EXE FirewallRules: [{33914543-F8E0-4BA8-8ECB-8D1DC263F103}] => (Allow) C:\Users\stan\AppData\Local\Chromium\Application\chrome.exe CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxps://uk.search.yahoo.com/search?fr=mcafee&type=C211GB885D20151111&p={searchTerms} CHR DefaultSearchKeyword: Default -> mcafee CHR HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://uk.search.yahoo.com/?fr=hp-ddc-bd&type=bl-bir-sw-rhb-36__alt__ddc_dsssyc_bd_com HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SK2M&ocid=SK2MDHP&osmkt=en-ww SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKLM -> OldSearch URL = hxxp://uk.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_kmpswt_15_35&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuzztBtCzytAyE0DtByD0DtAzyzy0A0E0CtN0D0Tzu0StCtAtAtBtN1L2XzutAtFtCtBtFyDtFtAtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SzzzytB0EtBzz0C0DtGyDyB0F0DtGyEyB0DtCtG0AyByCtBtG0E0EyByBzyyC0Fzy0DyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyyEyE%26cr%3D632115577%26a%3Dwncy_kmpswt_15_35%26os%3DWindows%2B10%2BHome&p={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> OldSearch URL = hxxp://uk.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_kmpswt_15_35&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuzztBtCzytAyE0DtByD0DtAzyzy0A0E0CtN0D0Tzu0StCtAtAtBtN1L2XzutAtFtCtBtFyDtFtAtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SzzzytB0EtBzz0C0DtGyDyB0F0DtGyEyB0DtCtG0AyByCtBtG0E0EyByBzyyC0Fzy0DyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyyEyE%26cr%3D632115577%26a%3Dwncy_kmpswt_15_35%26os%3DWindows%2B10%2BHome&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {03CB0EE3-BEF8-4A9E-A33A-B469F11029F5} URL = hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-dd__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {39367A88-20F2-4007-88EE-4E7C745B4E6A} URL = hxxps://uk.search.yahoo.com/search?fr=mcafee&type=C011GB885D20150825&p={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpybotPostWindows10UpgradeReInstall /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SDTray /f C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Users\stan\AppData\Local\Chromium C:\Users\stan\AppData\Local\GamerForest C:\Users\stan\AppData\Local\Microsoft\BingSvc C:\Users\stan\AppData\Local\Mozilla C:\Users\stan\AppData\Roaming\Mozilla C:\Users\stan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Chromium.lnk C:\Users\stan\sinister-2-pol-6410081.exe C:\WINDOWS\System32\Drivers\win8gfore64.sys C:\WINDOWS\system32\Drivers\etc\hosts.*.backup Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy objawy ustąpiły.

Już podejmowałeś jakieś działania. Nie ma w systemie aktywnych śladów PriiceFountain. Ale doczyść różne odpadki: 1. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-704734153-4039422576-387115820-1000\...\RunOnce: [PriceFountainUpdateVer] => [X] HKU\S-1-5-21-704734153-4039422576-387115820-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-704734153-4039422576-387115820-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-704734153-4039422576-387115820-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-704734153-4039422576-387115820-1000 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-704734153-4039422576-387115820-1000 -> {C501DB70-2EFA-4CE5-A9FE-5C1DD04510DC} URL = SearchScopes: HKU\S-1-5-21-704734153-4039422576-387115820-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} C:\Users\Grzegorz\AppData\Local\Gameo C:\Users\Grzegorz\AppData\Roaming\GoldenGate C:\Users\Grzegorz\AppData\Roaming\PriceFountainUpdateVer C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Adware PriceFountain jest zamontowane globalnie w Harmonogramie zadań (zadanie WarpowerHealthfulV2), dlatego tu nie pomoże żadna akcja na poziomie Google Chrome, a problem ujawni się w dowolnej przeglądarce. Działania do przeprowadzenia: 1. Odinstaluj zbędny składnik AVG Web TuneUp. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {22555F1A-2C2B-4830-BD31-CD31FDFBD62C} - System32\Tasks\{DF543F17-9ED5-4B27-9724-D2B4F6FC06FE} => pcalua.exe -a C:\Users\Tays\Desktop\tcmdpp20b.exe -d C:\Users\Tays\Desktop Task: {3F827B06-D64B-4CD1-9A68-598487C7E7D3} - System32\Tasks\WarpowerHealthfulV2 => Rundll32.exe PainterPeacefulness.dll,main 7 1 CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://www.delta-homes.com/?type=hp&ts=1432123317&z=281102cd6445afa98837607gaz9c9o7g6oacdc8gfc&from=wpm05203&uid=ST3500418AS_Z2A410Y5XXXXZ2A410Y5","hxxp://www.istartsurf.com/?type=hp&ts=1435159825&z=1d00d7122d33d3c70a2509dg4zbc5w8gfw2tcb4o4g&from=cor&uid=ST3500418AS_Z2A410Y5XXXXZ2A410Y5","hxxp://www.mystartsearch.com/?type=hp&ts=1435297137&z=e464845d738508094240d07gdzdc7weo9tfm9g1o3w&from=cornl&uid=ST3500418AS_Z2A410Y5XXXXZ2A410Y5","hxxp://www.istartsurf.com/?type=hp&ts=1448280821&z=4a9ef563b9b85d681ffb215g4z9z2bbodbee3wdeaw&from=cor&uid=SPCCXSolidXStateXDisk_E7CB0759080B00255289" CHR DefaultSearchURL: Default -> hxxps://mail.google.com/mail/u/0/#inbox HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-3919403963-3147837309-3499571233-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-3919403963-3147837309-3499571233-1000\...\Policies\Explorer: [] HKU\S-1-5-21-3919403963-3147837309-3499571233-1000\...\MountPoints2: {6a223669-9e53-11e3-a506-806e6f6e6963} - E:\InstAll.exe HKU\S-1-5-21-3919403963-3147837309-3499571233-1001\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-3919403963-3147837309-3499571233-1001\...\MountPoints2: {6a223669-9e53-11e3-a506-806e6f6e6963} - E:\InstAll.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-29] () DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera C:\Program Files (x86)\baidus.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foto Ksiazki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero Express.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype & Opera\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SonyEditor\Help file (english).lnk C:\Users\Tays\AppData\Local\WarpowerHealthful C:\Users\Tays\Desktop\*.crdownload C:\Users\Tays\Favorites\Mail.Ru*.url C:\Windows\System32\DRIVERS\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition (bez Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nie widzę tu żadnych oznak czynnej infekcji. Tylko szybkie sprzątanie śmieci i czyszczenie tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> DefaultScope - brak wartości FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-12-28] [brak podpisu cyfrowego] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Users\marek\AppData\Roaming\Microsoft\*.dll C:\Users\marek\AppData\Roaming\Microsoft\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. Z raportów nic nie wynika i nic mi się nie kojarzy z tymi objawami. Raczej nie jestem w stanie pomóc. - Sprawne YouTube prawdopodobnie nie korzysta u Ciebie z wtyczki Adobe Flash (serwis już dawno od tego odszedł), tylko z odtwarzacza HTML5, co można sprawdzić odwiedzając tę stronę: KLIK. To mogłoby wyjaśniać różnicę w zachowowaniu stron. Jeśli jest problem z innymi stronami, to czy była próba reinstalacji / aktualizacji wtyczki Flash? Logi są stare, więc nie wiem czy obecnie jest najnowsza wersja. - Ogólne przymulanie: jest tu sporo procesów uruchamianych, więc sprawdź czy jest różnica na czystym rozruchu: KLIK. Poza tym, masz dużo bardzo starych programów i przewertuj co tak naprawdę jest potrzebne, pierwszy z brzegu to Bonjour czy archaiczny sterownik SPTD DAEMONa. - Jeśli "mrożenie" pojawiło się po skanie GMER, to do sprawdzenia transfer dysku: KLIK.