picasso

W sytemie nadal jest szkodliwe proxy oraz różne odpadki adware. Jest tu także za dużo programów zabezpieczających, wspólnie aktywnie działają Ad-aware i ESET Smart Security. Działania do przeprowadzenia: 1. Odinstaluj nadwyżkowe programy i stare wersje: Ad-Aware Antivirus, Adobe Flash Player 10 ActiveX, Adobe Flash Player 18 PPAPI, Adobe Flash Player 20 NPAPI, Adobe Shockwave Player 12.1, Bonjour, Java 8 Update 40, Web Companion. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope - brak wartości Task: {2C27A829-127F-4CE1-A07E-62BF9F937564} - System32\Tasks\{74E386E7-18DE-4CA2-BF24-722952DAFB80} => pcalua.exe -a "E:\PLAY ONLINE\Setup.exe" -d "E:\PLAY ONLINE" Task: {3A2CF0B0-8E5D-44DB-8FA9-62183C417C47} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3559837788-3003761988-3719058285-1000UA => C:\Users\Mama\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {3C689939-E689-4E44-9F7B-334D9BD33769} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3559837788-3003761988-3719058285-1000Core => C:\Users\Mama\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {43021B01-16B4-45EA-B95A-A152787CBB63} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {500D7549-1A4F-44EF-91EC-3B54CB4364D6} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-02-22] (AVAST Software) Task: {554EAD3E-5371-47C4-B6E8-96DA2A9C253B} - System32\Tasks\SafeZone scheduled Autoupdate 1456175402 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {C42BDB3F-E058-4B61-921A-789CB5925474} - System32\Tasks\{C99F3EDE-D3CE-4AEE-AE2A-2C64AA283065} => pcalua.exe -a C:\Install\Kaspersky.Internet.Security.PL\K.I.S.2011.PL\kis11.0.1.400pl_pl.exe -d C:\Install\Kaspersky.Internet.Security.PL\K.I.S.2011.PL Task: {FA0F660C-EB4F-48A1-8D39-3A7FF878207E} - System32\Tasks\{EC4820A4-DD6C-458B-92A4-894D4E8104CB} => pcalua.exe -a E:\DataCard_Setup.exe -d E:\ CustomCLSID: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku IE trusted site: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3559837788-3003761988-3719058285-1000\...\webcompanion.com -> hxxp://webcompanion.com HKLM\...\Run: [] => [X] S2 HWDeviceService.exe; "C:\ProgramData\DatacardService\HWDeviceService.exe" -/service [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Launch.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk C:\Program Files\LittleFighter2 C:\Program Files\Mobile Partner C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\PLAY ONLINE C:\Program Files\Common Files\AV\avast! Antivirus C:\ProgramData\AVAST Software C:\ProgramData\DataCardService C:\ProgramData\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3G HSUPA Modem C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hero Fighter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Little Fighter 2 version 2.0a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\Users\Guest\Desktop\3G HSUPA Modem.lnk C:\Users\Guest\Desktop\Hero Fighter Room server v0.65.lnk C:\Users\Guest\Desktop\Hero Fighter v0.65.lnk C:\Users\Guest\Desktop\Little Fighter 2.lnk C:\Users\Mama\AppData\Local\Chromium C:\Users\Mama\AppData\Local\Microsoft\Windows\GameExplorer\{505FEEB0-80AB-4BFF-A363-DFC0348D6047} C:\Users\Mama\AppData\Roaming\Andy C:\Users\Mama\AppData\Roaming\Soft-4-Free.com C:\Users\Mama\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Andy C:\Users\Mama\Desktop\moje gry\Hero Fighter v0.65.lnk C:\Users\Mama\Desktop\moje gry\Landwirtschafts Simulator 2011 .lnk C:\Users\Mama\Desktop\moje gry\Little Fighter 2.lnk C:\Users\Mama\Desktop\moje gry\The Sims™ 2.lnk C:\Users\Mama\Desktop\moje gry\The Sims™ 3.lnk C:\Users\Mama\Desktop\Zdjęcia\PLAY ONLINE.lnk C:\Users\Mama\Desktop\Programy\Adobe Reader 9.lnk C:\Users\Mama\Desktop\Programy\Adobe Reader X.lnk C:\Users\Mama\Desktop\Programy\Euro Truck Simulator 2.lnk C:\Users\Mama\Desktop\Programy\McAfee Security Scan Plus.lnk C:\Users\Mama\Desktop\Programy\Mobile Partner.lnk C:\Users\Mama\Desktop\Programy\Origin.lnk C:\Users\Mama\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Mama\Downloads\*crack* C:\Users\Mama\Downloads\*keygen* C:\Windows\pss\Launch.lnk.CommonStartup C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\sdfhgdf.sys CMD: netsh advfirewall reset CMD: netsh winsock reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mama\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition i Shortcut. Dołącz też plik fixlog.txt.

Już zostało zdowodowane, że był to błąd definicji ESET. W raportach brak oznak infekcji. PS. Kosmetyka - możesz usunąć drobne puste wpisy i wyczyścić lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {1FDDA9D0-6FF4-489A-B672-DDA1B5F2C8F1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {312CD32C-13A5-4AB9-A611-A4984D9BE3DC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {61937D6D-2F3E-4E31-BE88-E016517E986A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {899BEBC9-2C02-480A-9726-300EF3958645} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {8A4CE013-6AFF-4DF5-9271-202E1CB7660A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8FC9321F-ABBE-46D6-89B4-05D9A02EEBBC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {94B12253-1110-45CA-A48E-9B174404214F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {97B21F06-990B-4B35-A2CB-665514286023} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {AD1708FA-D573-4606-AB63-64CBC5053F36} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {CB6DD680-9BB9-4BE0-905D-AAE92B73CDE1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {EAB06EDD-BCB0-4CF9-9B3C-3F8C800813ED} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku CustomCLSID: HKU\S-1-5-21-3220740827-1712365352-70908780-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\1\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Są tu różne instalacje adware. Operacje do wykonania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Picexa, WindowsMangerProtect20.0.0.502, WinZip. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 gprotect; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-28] () R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [119808 2015-12-25] (XTab system) [brak podpisu cyfrowego] R2 IhPul; C:\Users\natala\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [172192 2015-12-24] (TODO: ) R2 WdMan; C:\ProgramData\DWdMD\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [682240 2016-02-16] (Winzipper Pvt Ltd.) R2 WMModules; C:\ProgramData\Google\update\GoogleUpdate.exe [315008 2016-01-28] () S2 WSModules; C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe [505984 2016-01-28] () S2 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {2260D9F3-2841-4ECC-8CDF-0084FB57AA7F} - System32\Tasks\{922D1965-B67A-46B7-AD13-23F77DBFAE57} => pcalua.exe -a C:\Users\natala\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {2DF536FE-140D-42EB-965A-472175A04B85} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {863D8029-E670-41EA-964F-E77BB02E2A41} - System32\Tasks\crxbroBrowserUpdateUA => C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe [2016-01-28] () Task: {86E24755-4028-4E58-B3D0-C3F4EBD3F97F} - System32\Tasks\crxbroBrowserUpdateCore => C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe [2016-01-28] () Task: {A0D4CF18-F775-415B-AEC7-7EF49B40A055} - System32\Tasks\crxbroCheckTask => C:\Program Files (x86)\crxbro Browser\crxbro\bin\browserServer.exe [2016-01-28] () Task: {CD70D6E4-875D-47A4-8E70-AF88F7C1A5F5} - System32\Tasks\{18E86190-39DA-4B95-A7F3-9D853326EC20} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe" AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku Tcpip\..\Interfaces\{DAA80020-DE4B-4935-A099-7B5B246B3CBA}: [DhcpNameServer] 40.52.1.201 40.52.1.203 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1404286782&from=smt&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1404286782&from=smt&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1404286782&from=smt&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1404286782&from=smt&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKU\S-1-5-21-2750964564-3421185021-1369942512-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} HKU\S-1-5-21-2750964564-3421185021-1369942512-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKU\S-1-5-21-2750964564-3421185021-1369942512-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 HKU\S-1-5-21-2750964564-3421185021-1369942512-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1418377699&from=wpm12123&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5&q={searchTerms} SearchScopes: HKU\S-1-5-21-2750964564-3421185021-1369942512-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} ShortcutWithArgument: C:\Users\natala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 ShortcutWithArgument: C:\Users\natala\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 ShortcutWithArgument: C:\Users\natala\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.omniboxes.com/?type=sc&ts=1449097218&z=c9e5b8c9118f6df99065842g2zdz8t8e9t0m9o4o1w&from=ient07021&uid=WDCXWD5000LPVX-80V0TT0_WD-WXH1E43LUFH5LUFH5 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\crxbro Browser C:\Program Files (x86)\Google C:\Program Files (x86)\MiuiTab C:\Program Files (x86)\SFK C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\DWdMD C:\ProgramData\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programy\Ekierowca C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\natala\AppData\Local\Google C:\Users\natala\AppData\Roaming\TSv C:\Users\natala\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\natala\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\natala\Desktop\Kontynuuj instalację Apache OpenOffice.lnk C:\Users\natala\Desktop\Nie wiem co to jest\BitComet.lnk C:\Users\natala\Desktop\Nie wiem co to jest\Origin.lnk C:\Users\Public\Desktop\Google Chrome.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Przetestowałam instalację MPC Cleaner. Jego aktywnych sterowników i filtrów nie da się żadnym sposobem usunąć spod Windows przy udziale FRST, mają silne mechanizmy ochronne, a FRST nie posiada własnego sterownika, więc nie jest w stanie pracować na równorzędnym poziomie. Sterowniki da się usunąć tylko w środowisku zewnętrznym WinRE, a filtrów z tego nie poziomu nie trzeba wypinać. Czyli: 1. Przygotuj w Notatniku fixlist.txt o następującej zawartości: R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc) C:\Windows\System32\drivers\MPCKpt.sys Plik fixlist.txt oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST spod WinRE: KLIK. Klik w Fix (Napraw). Na pendrive powstanie fixlog.txt. Przedstaw ten plik.

Działania wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCRTP.exe [301728 2016-02-15] (Tencent) R2 wucotusy; C:\Program Files\Win32_ComputerSystemProduct-1455547447---\hnsj5D.tmp [416256 2016-02-15] () [brak podpisu cyfrowego] R2 zutuzuni; C:\Program Files\Win32_ComputerSystemProduct-1455547447---\jnsc5B.tmp [307712 2016-02-15] () [brak podpisu cyfrowego] R2 jegibitozbt; C:\Program Files\Win32_ComputerSystemProduct-1455547447---\knsg4C.tmpfs [X] R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMIEProtect.sys [50488 2016-01-12] () R1 QMUdisk; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMUdisk.sys [78776 2016-02-15] (Tencent) R1 QQPCHelper; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCHelper.sys [25400 2016-02-15] (Tencent) R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQSysMon.sys [108984 2016-02-15] (电脑管家) R1 softaal; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\softaal.sys [36280 2016-02-15] (Tencent) S3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [114616 2016-02-15] (Tencent) R1 TAOKernelDriver; C:\WINDOWS\system32\Drivers\TAOKernelXP.sys [95032 2016-02-15] (Tencent Technology(Shenzhen) Company Limited) R1 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2016-02-15] (电脑管家) S3 TS888; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TS888.sys [30392 2016-02-15] (Tencent) R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2016-02-15] (Tencent) R0 TsFltMgr; C:\WINDOWS\System32\drivers\TsFltMgr.sys [128280 2016-01-14] (电脑管家) R1 TSKSP; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TSKsp.sys [210072 2016-02-15] (电脑管家) HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCTRAY.EXE [355296 2016-02-15] (Tencent) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMGCShellExt.dll [2016-02-15] (Tencent) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90340616_hao_pg HKU\S-1-5-21-220523388-1078081533-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90340616_hao_pg AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List C:\Documents and Settings\All Users\TXQMPC C:\Documents and Settings\All Users\Dane aplikacji\Tencent C:\Documents and Settings\All Users\Menu Start\强力卸载电脑上的软件 .lnk C:\Documents and Settings\All Users\Pulpit\Download ESET NOD32 Ant...lnk C:\Documents and Settings\Optimus\Dane aplikacji\GiftBag.db C:\Documents and Settings\Optimus\Dane aplikacji\Tencent C:\Documents and Settings\Optimus\Moje dokumenty\Pobrane\ESET NOD32 Antivirus 9 Crack_ Serial Number Latest Download.exe C:\Documents and Settings\Optimus\Ustawienia lokalne\Dane aplikacji\setup.txt C:\Program Files\Tencent C:\Program Files\Win32_ComputerSystemProduct-1455547447--- C:\Program Files\Common Files\Tencent C:\WINDOWS\system32\TempWmicBatchFile.bat C:\WINDOWS\system32\TSSK.sys C:\WINDOWS\system32\Drivers\TAOAccelerator.sys C:\WINDOWS\system32\Drivers\TAOKernelXP.sys C:\WINDOWS\system32\Drivers\TFsFlt.sys C:\WINDOWS\system32\Drivers\TS888.sys C:\WINDOWS\system32\Drivers\TSDefenseBt.sys C:\WINDOWS\system32\Drivers\TsFltMgr.sys C:\WINDOWS\system32\Drivers\etc\hp.bak Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Problemem są zmodyfikowane skróty LNK. Do wykonania następująca akcja: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Pr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, ShortcutWithArgument: C:\Users\Pr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, ShortcutWithArgument: C:\Users\Pr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G27zliubl0fg1,ccee1bce-4a4b-4683-a9e0-b706e7060e95, S3 sdfhgdf; system32\DRIVERS\sdfhgdf.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\SpringFiles C:\Users\Pr\AppData\Roaming\Common C:\Windows\system32\${LOGFILE} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj DarkEra, McAfee Security Scan Plus, Native Info, SnapDo. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Airtostrong\Icetouch.dll => C:\ProgramData\Airtostrong\Icetouch.dll [805376 2016-02-14] () AppInit_DLLs-x32: C:\ProgramData\Airtostrong\Damdamstrong.dll => C:\ProgramData\Airtostrong\Damdamstrong.dll [257536 2016-02-14] () R2 Airtostrong; C:\ProgramData\\Airtostrong\\Airtostrong.exe [527360 2016-02-14] () [File not signed] S2 pyodqctneweowyooa; C:\Users\eafae\AppData\Local\itcom.exe [28160 2016-01-11] () [File not signed] S2 Service Mgr NativeInfo; "C:\ProgramData\074d595f-0c31-4ea0-91ea-d03ba1a766fb\plugincontainer.exe" [X] S2 Update Mgr NativeInfo; "C:\Program Files (x86)\Common Files\074d595f-0c31-4ea0-91ea-d03ba1a766fb\updater.exe" [X] S3 NPF; system32\drivers\NPF.sys [X] Task: {2B732FB9-1F74-4BFA-BE2E-3D9E35E1D1B0} - System32\Tasks\SPBIW_UpdateTask_Time_313738353133383530322d454a2a415034412a4a6c575a => C:\Windows\system32\wscript.exe [2013-08-22] (Microsoft Corporation) Task: {497AFD50-BC92-4842-8AC4-EB2C5D731D06} - System32\Tasks\Inst_Rep => C:\Users\eafae\AppData\Local\Installer\Install_14590\ytdieamodc_amodc_inst.exe [2016-01-11] () Task: {7A8B37D0-51B1-40C1-950F-28CC762AE3AC} - System32\Tasks\ndb3jyhj => C:\Program Files\Common Files\k3rc4xhk\ccd44y0jcijrf.exe [2016-02-14] () Task: {95E5BF7F-AFB6-4DDF-8421-1224113D1E48} - System32\Tasks\Installer_iwebar => C:\Users\eafae\AppData\Local\Installer\Installiwebar_18987\ytdieamodc_amodc_inst.exe [2016-01-11] () Task: {9A10756C-275D-4C25-83E7-A5645D4A7301} - System32\Tasks\f5qry3k3 => C:\Program Files\Common Files\ixsv3c2d\6fd91gmalpl2x.exe [2016-01-11] () Task: {A652EB74-B2CE-415F-98F4-3912D3DCA5FA} - \AutoPico Daily Restart -> No File Task: {ACE2164B-D103-4E55-AA60-2CAB6A13EE65} - System32\Tasks\rurtn313 => C:\Program Files\Common Files\3vmusi4v\63035qoqjoaa3.exe [2016-01-11] () Task: {BBAA705C-28AF-48AE-9FB1-78321271C3A2} - System32\Tasks\pbu12blk => C:\Program Files\Common Files\3jfzxv2k\fb9b3jkbeviro.exe [2016-01-11] () Task: {E69403FA-3ED1-475B-9CBD-222510D98362} - System32\Tasks\turodhct => C:\Windows\system32\config\systemprofile\AppData\Local\Ozerex [2016-01-11] () HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnG-uDl7JI5MZ6v6csCTS1zMfk3w-WMYPMi3JZF5hs48u0qa-59mAJ2ZdQCVq9aivBjpV4STqYr4a-hmJBwHaZb3-bDUgRZ8, HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdA6x4-YNMBuKnGEAxJ5OMXABfmoDlN5kEqlKjBbgKXXu9vSLjyLsInNx0uZUCmcnGPvQ7f7AQCXI_s1uU8B_yETmJFTRKNed6w8jXHtNkssAJ3tCqzp3DiIgNfyAFL1FwrGNatFZjNn0ukYB_-hbeqi-mF_d0k,&q={searchTerms} BHO-x32: Native Info -> {20ffc3e2-8613-4800-a80c-73ae470177af} -> C:\Program Files (x86)\Native Info\Extensions\20ffc3e2-8613-4800-a80c-73ae470177af.dll [2016-02-01] () ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\eafae\Desktop\plp\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\eafae\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\eafae\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\eafae\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Native Info C:\Program Files\Common Files\11kw1zdf.exe C:\Program Files\Common Files\k3rc4xhk C:\ProgramData\Airtostrong C:\ProgramData\Airtostrongs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArcaniA - Gothic 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty + United Offensive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\Users\eafae\AppData\Local\*.* C:\Users\eafae\AppData\Local\Installer C:\Users\eafae\Desktop\plp\Call of Duty - Black Ops.lnk C:\Users\eafae\Desktop\plp\DarkEra.lnk C:\Users\eafae\Desktop\plp\Fallout3.exe — skrót.lnk C:\Users\eafae\Desktop\plp\farcry3.exe -language polish.lnk C:\Users\eafae\Desktop\plp\Fraps.lnk C:\Users\eafae\Desktop\plp\Gothic III.lnk C:\Users\eafae\Desktop\plp\Start ArcaniA - Gothic 4.lnk C:\Users\eafae\Downloads\Fallout42015CODEXPolskaWersjaJzykowaSpolszczenie__7934_il87675.exe C:\Windows\system32\config\systemprofile\AppData\Local\Ozerex C:\Windows\SysWOW64\findit.xml Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Google Chrome do reinstalacji wg następujących kroków: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na temat używania ComboFix: KLIK. Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 AppMgr2.12.4036661; C:\ProgramData\AppMgr2.12.4036661\AppMgr.exe [488648 2016-02-17] () R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [264944 2016-02-03] (RayDl) R2 Update Checked List; C:\Program Files (x86)\Checked List\updateCheckedList.exe [654024 2016-02-17] () R2 Util Checked List; C:\Program Files (x86)\Checked List\bin\utilCheckedList.exe [654024 2016-02-17] () S2 sixuhuvezbt; C:\Program Files (x86)\00000000-1455653730-0000-0000-6C626DA16EEA\knsn2F45.tmpfs [X] R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [61336 2016-02-16] (Cherimoya Ltd) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-17] () R1 {2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64; C:\Windows\System32\drivers\{2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64.sys [48744 2016-02-16] (StdLib) U3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM\...\Run: [sound+] => "C:\Program Files\Sound+\Sound+.exe" Task: {5CC76D59-ACCE-4379-9A6E-8440D56F8E7B} - System32\Tasks\{BC7012CF-6157-4F46-9625-20A8B9C3DA93} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" Task: {5DBF33E4-1CE2-4EDD-97F7-7A4871FED811} - System32\Tasks\{B559669A-EEF8-4BE0-8C98-493777119CF1} => pcalua.exe -a "C:\Users\Dom\Desktop\DAEMON Tools PL 4.30.1.exe" -d C:\Users\Dom\Desktop Task: {83D8D79D-61C0-437A-AAD8-76077C59CFD4} - System32\Tasks\{D1EDBC15-80A1-497C-AD74-46E1238BEBA7} => pcalua.exe -a "C:\Program Files (x86)\Jufsoft\BadCopy\UNWISE.EXE" -c C:\Program Files (x86)\Jufsoft\BadCopy\INSTALL.LOG Task: {B01A21B0-4CF8-4F31-8734-89E6BBC767B6} - System32\Tasks\{AFB9E940-57C9-49CD-A4CC-E4B1CE1AA71F} => pcalua.exe -a "F:\programy instalki\DAEMON Tools PL 4.30.1.exe" -d "F:\programy instalki" Task: {BB6DD6A5-AC98-4973-BF69-9EAF029FE0A1} - System32\Tasks\Fhuvac => C:\Program Task: {DF8539C5-9D36-4467-B149-59D4AB8BCCA8} - System32\Tasks\Ryltocma => C:\Program Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3181640617-934616419-3571302022-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3181640617-934616419-3571302022-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: Checked List 1.0.0.7 -> {7ff0f7e7-8b1e-4e90-8bd5-f60cfdd71ecc} -> C:\Program Files (x86)\Checked List\CheckedListbho.dll => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\kljyyo89.default\extensions\deskCutv2@gmail.com CHR HKU\S-1-5-21-3181640617-934616419-3571302022-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\Checked List C:\Program Files (x86)\RayDld C:\ProgramData\AppMgr2.12.4036661 C:\uninst C:\Users\Dom\AppData\Local\00000000-1455657398-0000-0000-6C626DA16EEA C:\Users\Dom\AppData\Local\Gameo C:\Users\Dom\AppData\Local\gmsd_pl_005010240 C:\Users\Dom\AppData\Local\Opera Software C:\Users\Dom\AppData\Local\Tempfolder C:\Users\Dom\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Dom\AppData\LocalLow\Company C:\Users\Dom\AppData\Roaming\CecbeWew C:\Users\Dom\AppData\Roaming\CiiiYhu C:\Users\Dom\AppData\Roaming\gplyra C:\Users\Dom\AppData\Roaming\GoldenGate C:\Users\Dom\AppData\Roaming\Opera Software C:\Users\Dom\AppData\Roaming\PriceFountain C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Dom\Downloads\crack.zip C:\Users\Dom\Downloads\Firmware_Installer [1].exe C:\Users\Dom\Downloads\Setup.exe.search-ms C:\Windows\System32\drivers\{2a6b0fdc-8815-4aa5-a061-069d6db3f642}Gw64.sys C:\Windows\System32\drivers\cherimoya.sys C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\system32\drivers\etc\hp.bak C:\Windows\system32\ema C:\Windows\system32\rac C:\Windows\system32\zuw C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3FD53F44-D140-4A79-ADD6-A8B574D365D1} - System32\Tasks\{76973A3E-BEDE-44E5-A3CE-082667CADDA9} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.80.105/pl/abandoninstall?page=tsProgressBar Task: {9ABC8AD3-C0F9-45D5-9D55-9F7216EDEC0F} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {9FC2E443-60D7-4315-A9FE-487EBEA757B4} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {A581CBD1-FBBA-4AC7-A24E-6E8280EB1144} - System32\Tasks\AutoKMS => C:\windows\AutoKMS.exe Task: {DA154D84-5385-4EC7-8940-F3F8BD02D262} - System32\Tasks\AutoKMSDaily => C:\windows\AutoKMS.exe Task: {DA4A51E9-8294-4E44-8A14-1759F070375A} - System32\Tasks\ElajzaSeptumAssimilativeV2 => Rundll32.exe CarpelPreassemble.dll,main 7 1 Task: {DA72CDDF-3786-4834-BCC4-F5C15459520C} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {E48D9836-09AF-4197-97AB-A8D44094832C} - System32\Tasks\{2A51DD56-4D9E-4F9E-BB79-C3267BBA6909} => pcalua.exe -a C:\Users\Elajza\Downloads\mpnwin303ea22.exe -d C:\Users\Elajza\Downloads Task: {ED4744C3-363E-444D-BD48-7E7ECF249CAE} - System32\Tasks\{84B18614-57C0-48F7-821C-8DFFDC3BAAF2} => pcalua.exe -a C:\Users\Elajza\Downloads\M6A0Cmux.exe -d C:\Users\Elajza\Downloads Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\windows\AutoKMS.exe Task: C:\WINDOWS\Tasks\AutoKMSDaily.job => C:\windows\AutoKMS.exe ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku CustomCLSID: HKU\S-1-5-21-1115837104-4238194641-737760799-1001_Classes\CLSID\{A5AE8924-4036-420F-B7F6-A47E4B8F692E}\InprocServer32 -> C:\Users\Elajza\AppData\LocalLow\Free_Lunch_Design_TB\prxtbFree.dll => Brak pliku URLSearchHook: HKLM-x32 - Free Lunch Design TB Toolbar - {a5ae8924-4036-420f-b7f6-a47e4b8f692e} - C:\Users\Elajza\AppData\LocalLow\Free_Lunch_Design_TB\prxtbFree.dll Brak pliku URLSearchHook: HKU\S-1-5-21-1115837104-4238194641-737760799-1001 - Free Lunch Design TB Toolbar - {a5ae8924-4036-420f-b7f6-a47e4b8f692e} - C:\Users\Elajza\AppData\LocalLow\Free_Lunch_Design_TB\prxtbFree.dll Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {17E1DCF2-E248-412C-BB98-7FA664B2705B} URL = SearchScopes: HKU\S-1-5-21-1115837104-4238194641-737760799-1001 -> {72E1588E-551C-4259-8C8B-F38193E31DD5} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design C:\Users\Elajza\AppData\Local\SeptumAssimilative C:\Users\Elajza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aliexpress .lnk C:\Windows\System32\Tasks\Norton Anti-Theft EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Posługiwałeś się wątpliwymi skanerami: SpyHunter, SpywareTerminator, YAC (Yet Another Cleaner). Problemem są polityki Google Chrome. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=sy&ts=1434321357&z=8bf915c7c3cc685d86e71c5g2z9cfz1c6o4g8caq8o&from=cvs&uid=SanDiskXSDSSDHP128G_142046401409 CHR HKLM\...\Chrome\Extension: [ljnfelhdldlokjkohcmjpogkdjgbgjpj] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ljnfelhdldlokjkohcmjpogkdjgbgjpj.crx [2015-09-28] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-1854063861-834038236-3450837710-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {82A76710-4F98-4957-92BE-99648A4E2475} -> Brak pliku BHO-x32: Brak nazwy -> {82A76710-4F98-4957-92BE-99648A4E2475} -> Brak pliku FF DefaultSearchEngine: Bing® FF SelectedSearchEngine: Bing® FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-11-18] (Microsoft Corporation) Task: {06476EE8-1B68-4447-AA4D-F6D721FDDFF9} - System32\Tasks\{628AD8CD-9794-4136-A3EF-7C9983611D66} => pcalua.exe -a "C:\Program Files (x86)\PC Faster\5.1.0.0\Uninstall.exe" Task: {691FA264-7A06-482A-A18C-5A3AB7F775E7} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {E590BAF4-2D03-4C22-AAFE-5536400776E1} - System32\Tasks\{1B660FD8-75CA-4387-B80E-68400371021F} => pcalua.exe -a C:\Users\Ewa\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cvs HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-27] (Safer-Networking Ltd.) ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku BootExecute: autocheck autochk * sdnclean64.exe S3 cpuz138; \??\C:\Users\Ewa\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] IE trusted site: HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Elex-tech C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Lasso\Dokumentacja\Dokumentacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Terminator 2015 C:\Users\Ewa\AppData\Roaming\Enigma Software Group C:\Users\Ewa\Downloads\sh-remover.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Skoro laptop był wpisany do innej sieci pod kontrolą TP-Link (stare wersje tej marki są dziurawe jak rzeszoto), to wyjaśnia skąd problemy u Ciebie. Szwagier ma zainfekowany router i rzecz jasna musi się tym zająć (skieruj go tu na forum). Skoro po powrocie od szwagra objawy nadal występują, pomimo że już nie łączysz się przez zainfekowany router, problemem może być bufor DNS i/lub cache przeglądarki. Poniżej podaję skrypt zawierający komendy czyszczenia tych sfer. Dodatkowa uwaga, próbując rozwiązać problemy pobierałeś wątpliwy program WinThruster - to niepożądany program, m.in. usuwany przez AdwCleaner. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 hitmanpro37; C:\Windows\system32\drivers\hitmanpro37.sys [49584 2016-02-21] () RemoveDirectory: C:\Program Files\SUPERAntiSpyware RemoveDirectory: C:\Program Files (x86)\WinThruster RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\Users\Zigi\AppData\Roaming\Solvusoft RemoveDirectory: C:\Users\Zigi\Downloads\WinThruster 1.79.69.2469 ( PL )( Zarejestrowany ) CMD: del /q C:\TDSSKiller.2.7.46.0_20.02.2016_22.37.29_log.txt CMD: del /q "C:\Users\Zigi\Downloads\WinThruster 1.79.69.2469 ( PL )( Zarejestrowany ).rar" CMD: del /q C:\Users\Zigi\Downloads\pwkygvv2.exe CMD: del /q C:\Windows\system32\.crusader CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go oraz wypowiedz się czy ustąpiły przekierowania wonderlandads.

W raporcie nie widać tej modyfikacji, ale prawdopodobnie jest zmodyfikowany globalny plik zasobów Google resources.pak. Ta modyfikacja jest niewykrywalna żadną automatyczną metodą. Poproszę o materiał do ręcznej analizy: Skopiuj na Pulpit poniższy folder, spakuj do ZIP, shostuj gdziewś i podeślij link na PW. C:\Program Files\Google\Chrome

Nie za bardzo rozumiem tę treść... Twoje Google Chrome zostało zmodyfikowane na poziomie plików DLL w katalogu C:\Program Files (x86)\Google\Chrome, adware spatchowało pliki podmieniając w nich adresy Chrome Web Store na adresy malware, by odblokować możliwość instalacji innych brzydkich obiektów. Skutkiem ubocznym tego jest, że inne zainstalowane poprawne rozszerzenia są modyfikowane (podmiana ich adresów aktualizacji z Chrome Web Store na serwery adware). To także powoduje, że te rozszerzenia w ogóle nie będą się poprawnie aktualizować. To nie są poprawne rozszerzenia Google lecz już zmodyfikowane przez adware: CHR Extension: (Dokumenty Google) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-01-15] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] CHR Extension: (Dysk Google) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-01-18] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\pomyk_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-01-18] [updateUrl: hxxps://mynamedomain.koko//0service/update2/crx] Cała przeglądarka Google Chrome musi być przeinstalowana od zera, by zlikwidować tę modyfikację bibliotek oraz skutki uboczne w rozszerzeniach. A by lewe rozszerzenia nie zostały ponownie załadowane z serwera Google, przed reinstalacją należy zresetować synchronizację. Tak więc punkt 2 nadal aktualny, a po tym nowy raport FRST.

Problemem jest szkodliwe proxy przekierowujące na ten adres. Akcja: 1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Google Talk Plugin (już nie działa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction HKU\S-1-5-21-1159297443-1827356356-1939997709-1001\...\Run: [NB Probe] => [X] S3 ALSysIO; \??\C:\Users\Marcin\AppData\Local\Temp\ALSysIO64.sys [X] S3 X6va062; \??\C:\Windows\SysWOW64\Drivers\X6va062 [X] HKU\S-1-5-21-1159297443-1827356356-1939997709-1001\...\Run: [Google Update] => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe [144200 2015-11-02] (Google Inc.) Task: {54B80A76-F222-4EDC-A336-BCEE073031C7} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1159297443-1827356356-1939997709-1001Core => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe [2015-11-02] (Google Inc.) Task: {943E46C8-D5FB-40F3-A8AC-7043EAB50CEB} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1159297443-1827356356-1939997709-1001UA => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe [2015-11-02] (Google Inc.) Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1159297443-1827356356-1939997709-1001Core.job => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1159297443-1827356356-1939997709-1001UA.job => C:\Users\Marcin\AppData\Local\Google\Update\GoogleUpdate.exe CustomCLSID: HKU\S-1-5-21-1159297443-1827356356-1939997709-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-1159297443-1827356356-1939997709-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1159297443-1827356356-1939997709-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1159297443-1827356356-1939997709-1001_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll (Google Inc.) DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Marcin\AppData\Local\Google RemoveDirectory: C:\Users\Marcin\AppData\Roaming\mozilla C:\Users\Marcin\Downloads\fa30b6563db0f624 CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Adware PriceFountain działa za pomocą Harmonogramu Windows, dlatego tu nie pomoże czyszczenie Firefox, efekt byłby widoczny w obojętnej przeglądarce. A obecna wersja AdwCleaner nie jest w stanie wykryć tej modyfikacji. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, HP Officejet Pro 8100 — badanie mające na celu poprawę produktów, Java 7 Update 67, Java 8 Update 25, Real Alternative 2.0.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {83B31448-C12C-44A1-B8C9-B9E52B79D7B9} - System32\Tasks\{0EF353CF-C905-41FC-A4F3-38290B20EB2C} => pcalua.exe -a "C:\Users\Dell Latitude E6540\Downloads\dxwebsetup(1).exe" -d "C:\Users\Dell Latitude E6540\Downloads" Task: {BB8AF43F-768D-48BC-B60F-00B8EB97D468} - System32\Tasks\Dell Latitude E6540FilthiestRubbedV2 => Rundll32.exe UnwilledJabs.dll,main 7 1 HKLM-x32\...\Run: [] => [X] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\Dell\Dell Data Protection\Security Tools Authentication\Bin\FirefoxExt FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon => nie znaleziono DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wwnotify DisableService: Internet Manager. RunOuc AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:12919 AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:12958 AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:13059 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Dell Latitude E6540\AppData\Local\FilthiestRubbed RemoveDirectory: C:\Users\Dell Latitude E6540\Desktop\Stare dane programu Firefox C:\Users\Dell Latitude E6540\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Dell Latitude E6540\Documents\Kruklanki\*.lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\Ada (Ada).lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\skany.lnk C:\Users\Dell Latitude E6540\Documents\pliki_z_pulpitu\Skrót do SPRZEDAŻ_WDT_EXP.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\C2NetCalendars.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\naturex kontrakt.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\UltraISO.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\iTunes.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\PDFCreator.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\BlackBerry Desktop Software.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\mkvmerge GUI.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\Microsoft Office\*.lnk C:\Users\Dell Latitude E6540\Documents\pulpit_ze_starego\z pulpitu\dok2\Microsoft Office\Narzędzia Microsoft Office\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Na koniec: 1. Usuń FRST z "Nowego folderu" na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Te pliki FRST zostały wyciągnięte z katalogu C:\FRST\Logs - to archiwum, bieżące raporty są tam skąd uruchamiasz FRST. Ale to tylko uwaga na przyszłość. Ten szczątek po deinstalacji RealPlayer zniknął. Nic więcej tu nie widzę do roboty. Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji poniższe programy. Linki również w w/w temacie. Internet Explorer Wersja 7 (Domyślna przeglądarka: FF) Adobe Reader XI (11.0.08) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated) O Javie już mówiłyśmy. Niestety na teraz musi być stara.

Coldsearch jest zablokowane metodą polityk oprogramowania. Operacje do wdrożenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj starą wersję Adobe AIR + jeśli nie korzystasz, także program Lenovo REACHit. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [iccodbepgnkhafhjajchdjkadbflkijl] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\iccodbepgnkhafhjajchdjkadbflkijl.crx CHR HKLM-x32\...\Chrome\Extension: [iccodbepgnkhafhjajchdjkadbflkijl] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\iccodbepgnkhafhjajchdjkadbflkijl.crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku Task: {2D635888-E008-4098-AF79-CDDFC32AD613} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {DB27B406-ED80-4161-9BC8-E27F7A588735} - System32\Tasks\0215pitUpdateInfo => C:\ProgramData\Avg_Update_0215pit\0215pit_AVG-Secure-Search-Update.exe [2015-02-17] () HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKU\S-1-5-21-4238393516-3114630877-1348818795-1002\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal S3 HWiNFO32; \??\C:\Users\Ewa\AppData\Local\Temp\HWiNFO64A.SYS [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Ewa\AppData\Local\Opera Software RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Opera Software DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: netsh advfirewall reset Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem tytułowy jest generowany przez szkodliwe zadanie w Harmonoramie zadań. Ale tu nie tylko adware jest. Występuje też usterka Usług kryptograficznych (uszkodzenie bazy catroot lub catroot2), objawiona jako oznaczanie wszystkich usług i sterowników Microsoftu jako "niepodpisanych cyfrowo". Operacje do przeprowadzenia: 1. Pod kątem Usług kryptrograficznych: - Upewnij się, że nie masz zainstalowanej felernej aktualizacji KB3004394. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj. - Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 2. Odinstaluj: SafeFinder, Splashtop Connect for Firefox, Splashtop Connect IE, Web Companion. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {B77B4E89-9D49-4A59-B737-B853360D1ACE} - System32\Tasks\PanciaBitterestNovember'sV2 => Rundll32.exe BozoFoddering.dll,main 7 1 HKLM-x32\...\Run: [sTCAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe" HKU\S-1-5-21-3224463139-3833252526-3731008980-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize HKU\S-1-5-21-3224463139-3833252526-3731008980-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3224463139-3833252526-3731008980-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage/ HKU\S-1-5-21-3224463139-3833252526-3731008980-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3224463139-3833252526-3731008980-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3224463139-3833252526-3731008980-1000 -> {0D2AA1A8-C969-45a1-B285-29E235359AAD} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=4183257091&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-3224463139-3833252526-3731008980-1000 -> {8BED36EF-D682-4465-AA72-75E7670F5186} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-3224463139-3833252526-3731008980-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/search?fr=vmn&type=vmn__webcompa__1_0__ya__ch_WCYID10195_swoc_campaign_160217__yaie&p={searchTerms} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\Lightzap RemoveDirectory: C:\ProgramData\Lightzaps RemoveDirectory: C:\Users\Administrator RemoveDirectory: C:\Users\Pancia\AppData\Local\BitterestNovember's C:\Users\Pancia\AppData\Roaming\*.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Logi FRST skonfigurowane niepoprawnie, nie tak jak jest to opisane w przyklejonym: opcje "Lista BCD", "MD5 sterowników" oraz "Pliki z 90 dni" nie miały być zaznaczone. Operacje do przeprowadzenia: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 11 Plugin, Java 7 Update 67. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {371D2843-DE44-407E-B6E0-F8B15151B5CD} - System32\Tasks\{68B0CC68-3DFC-47F0-AB2C-683C22080321} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.5.0.158&LastError=404 Task: {8DB37737-79D3-4A00-B214-F1DD29326B91} - System32\Tasks\{75FE1FD9-3EC7-4DCA-AB6F-9066A53761F5} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.5.0.158&LastError=404 Task: {8F5A157F-2504-47F2-97F3-9506102FBF6F} - System32\Tasks\{F44D2FD4-02E0-4923-8BF6-9F0AED279E06} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {955BE13D-C684-494B-94BC-2DEE1C613BBF} - System32\Tasks\{29E7BF39-289E-4352-832F-D01EE1B83C0E} => Chrome.exe hxxp://ui.skype.com/ui/0/6.21.0.104/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {EC54DD23-7227-4D47-AFAF-CDB9A78F36CE} - System32\Tasks\AlicjaSwarmerAntitheticalV2 => Rundll32.exe FilibusterHangnail.dll,main 7 1 S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Alicja\AppData\Local\SwarmerAntithetical EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć martwe wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowany wg wytycznych forum, ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {C92BF439-CC7C-4323-9FD5-11D67E729288} - System32\Tasks\DawidUnratedSmotheredV2 => Rundll32.exe AnalysesLeverages.dll,main 7 1 Task: {AE5A9E18-5578-45BE-8783-E43F6B5AFA2F} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-02-11] (AVAST Software) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\AVScanner.ini RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Users\Dawid\AppData\Local\UnratedSmothered RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Logi z przestarzałego OTL nie są tu już brane pod uwagę. Usuwam. W podanych tu raportach nie widać żadnych oznak infekcji. Te przekierowania wonderlandads.com wyglądają na infekcję routera a nie systemu, pomimo że w raporcie FRST widać tylko wewnętrzne adresy pobierane routera. Podaj czy masz dostęp do routera, a jeśli tak to jaki model konkretnie jest.

W Firefox jest adware SmashDasboard. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe Reader X (10.1.16) MUI, Java 8 Update 45. 2. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0E267AE3-AFC8-4695-8ABC-BDD1EE6C7FF6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {1FDB69FC-614A-4B85-B863-2377E9F063EA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {243A8442-656A-4DC5-B37A-096BCD83D58E} - System32\Tasks\{6074CBD1-A732-4621-AADB-9A4962EC0C37} => pcalua.exe -a E:\SkinOnSkin.exe -d E:\ Task: {24DA14CD-0425-40B1-8198-738110CFFFDC} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {4D07948E-C629-4420-A248-A9CC0DDB8A38} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {53D9F1CD-ADEE-40D0-8F88-305374F58730} - System32\Tasks\Settings => C:\Program Files (x86)\Samsung\Settings\sSettings.exe Task: {659ADE0A-4963-4D6B-9F83-6BEFB9AFE088} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {8761D8DD-DB3A-476E-B26F-60D00E766EF4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {96E60D98-46B1-45E1-BE3D-530B96ABD57F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {9BA1E043-4CC2-449F-B4DC-F3F56CCBC9F7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {A87DC23F-BD45-4B61-9571-C7A6F7328DCE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {DC64F5B9-BFFE-431A-822B-0F2148615948} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {F65DADB4-3353-460B-A98E-6CC7F58236F3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {FB98F029-25B6-4E09-81EA-8614D36728FE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4159141245-907251572-3825534944-1001\...\MountPoints2: {72b76f7b-d223-11e5-bf1b-1867b08a8c40} - "F:\AutoRun.exe" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA SearchScopes: HKU\S-1-5-21-4159141245-907251572-3825534944-1001 -> DefaultScope {5FFC30EF-5AEF-4531-8B67-B95E1040DDCE} URL = SearchScopes: HKU\S-1-5-21-4159141245-907251572-3825534944-1001 -> {547039B8-31F1-40B3-A079-62680D846C39} URL = hxxp://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11467&pf=V7&p2=^BED^OSJ000^YY^PL&gct=&itbv=12.24.1.53&apn_uid=5A5FDCC3-9BBD-4B6B-A0B3-C8E51884B617&apn_ptnrs=BED&apn_dtid=^OSJ000^YY^PL&apn_dbr=cr_43.0.2357.10&doi=2015-04-12&trgb=CR&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-4159141245-907251572-3825534944-1001 -> {5FFC30EF-5AEF-4531-8B67-B95E1040DDCE} URL = C:\ProgramData\APN C:\ProgramData\Avg C:\ProgramData\MFAData C:\Users\Samsung\AppData\Local\Avg C:\Users\Samsung\AppData\Local\AvgSetupLog Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ApnTBMon /f CMD: netsh advfirewall reset CMD: type C:\ProgramData\MakeMarkerFile.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ofensywne sterowniki to nie jedyny problem. Masz zainfekowane systemowe pliki dnsapi.dll (mają unikatowe sumy kontrolne). A jeśli chodzi o oporne sterowniki filtrujące dysk, początkowo były dwa: bsdriver oraz MPCKpt. Pierwszy wypięto, ale przy drugim zastosowano błędną składnię (nazwa instancji jest inna). Inne błędy w skrypcie: C:\found.00* = FRST nie umożliwia zbiorowego usuwania folderów. Przy okazji będę usuwać składniki odinstalowanego Firefoxa oraz szczątki po upgradzie do Windows 10 (martwe Media Center, instalator Windows 10 je usuwa niekompletnie). Działania do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie plik raportu RepairDNS.txt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: fltmc detach MPCKpt C: "NPminifilter Instance" CMD: fltmc detach MPCKpt D: "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\Mup "NPminifilter Instance" CMD: fltmc instances CMD: netsh advfirewall reset CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-13] (DotC United Inc) U3 idsvc; Brak ImagePath HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe Task: {044C685F-6EE2-4C05-887B-8503D2214936} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {19144C6E-F937-4C98-8C05-684E5C118C2A} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {1F4DA1A4-F22F-48EC-96C6-8988B50B5B77} - System32\Tasks\{6B250226-EABE-423A-B553-4ADEB88B93D5} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Blizzard Entertainment\StarCraft II\Uninstall.exe" Task: {2990FEBC-89A6-4848-BA04-FB44844AA8CA} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {29C53618-C170-4056-8C71-CA30DB716556} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {3425C917-799B-4395-8F67-E7DA95B7F138} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {34C33E55-66A2-4DFA-BDDC-6470C41CA5FE} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {4EBBFFBF-8D9A-4922-9012-E9644486D22F} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {5610C9A0-4124-4CA9-8477-C0FF863FB605} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {57318E7C-5870-466D-995F-D5CC5C1B55F4} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {5FC9B581-C4DC-4651-A8BA-A490613A5575} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {674016F9-0D3D-4994-9E4B-E0BB32DEFF8E} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {7C23D056-3271-4DFE-B2BE-3125307E33EA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {A4A6B07C-67B9-430D-8E10-606F6B252B5A} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {A61212AE-F9FF-438C-BE70-B0C63FB75588} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {AA442E2E-4360-4A35-A809-6EA401665427} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {AC27D541-6914-45F6-B1F7-07427CA75262} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {B254FBF5-8AFF-4AE9-B903-2F9EF66C3412} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {CD753530-E580-486D-B4D8-6821164D8A0A} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {D55837C8-6FA4-4321-9E4F-2EFCCFD995F3} - System32\Tasks\Opera scheduled Autoupdate 1441827031 => C:\Program Files (x86)\Opera\launcher.exe Task: {DAE58985-B39B-4E80-802A-F0B4FB68E4BF} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {E8D6B186-1441-4FA7-9B54-2134E0BB8A8C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {E8E07C1B-9972-4551-93BC-3FB62E111AA6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {F69831CA-C7EF-42CF-B613-BF9D7764AA51} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {FE8D10EB-8248-4D5F-BEB4-C841655B4C09} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130874913981609399&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com C:\Program Files\McAfee Security Scan C:\Program Files (x86)\IObit C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\IObit C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\GameExplorer\{00000000-0000-0000-0000-000000000000} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JoWood C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Power Sound Editor Free C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 C:\Users\Laptop\AppData\Local\{77876B24-835A-4536-B2D5-82F6930347AC} C:\Users\Laptop\AppData\Local\Mozilla C:\Users\Laptop\AppData\Roaming\HJMHKZ C:\Users\Laptop\AppData\Roaming\RMBKJW C:\Users\Laptop\AppData\Roaming\uninstall_temp.ico C:\Users\Laptop\AppData\Roaming\IObit C:\Users\DefaultAppPool\AppData\Roaming\Media Center Programs C:\Users\Laptop\AppData\Roaming\Mozilla C:\Users\Laptop\AppData\Roaming\ProductData C:\Users\Laptop\Desktop\gry\Borderlands GOTY Edition.lnk C:\Users\Laptop\Desktop\gry\Gothic II.lnk C:\Users\Laptop\Desktop\gry\MK LOL.lnk C:\Users\Laptop\Desktop\Wiciu\Advanced SystemCare 8.lnk C:\Users\Laptop\Desktop\Wiciu\Avast Premier.lnk C:\Users\Laptop\Desktop\Wiciu\Avast SafeZone.lnk C:\Users\Laptop\Desktop\Wiciu\Driver Booster 2.lnk C:\Users\Laptop\Desktop\Wiciu\Game Booster 3.lnk C:\Users\Laptop\Desktop\Wiciu\IObit Malware Fighter.lnk C:\Users\Laptop\Downloads\*.crdownload C:\Windows\ehome C:\WINDOWS\System32\Drivers\MPCKpt.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\gus C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center Folder: C:\Users\Public\Documents\dmp DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring" /f RemoveProxy: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 3. Wejdź w Tryb awaryjny Windows: Menu Start > Ustawienia > Aktualizacje i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart > w menu które się pojawi wybierz Rozwiąż problemy > Zaawansowane opcje rozruchu i wybierz Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Opuść Tryb awaryjny. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

System jest zainfekowany. Jest ustawione szkodliwe proxy stop-block.org, które jest przyczyną zgłaszanych komunikatów: AutoConfigURL: [s-1-5-21-51339240-3279045181-1421070313-1000] => hxxp://stop-block.org/wpad.dat?2bc5a776d3abece0393e95cfa4a993c36448220 ManualProxies: 0http://stop-block.org/wpad.dat?2bc5a776d3abece0393e95cfa4a993c36448220 Dodatkowo, są tu zmodyfikowane przez adware skróty Internet Explorer i inne drobne odpadki adware oraz nieprawidłowo odinstalowany Spybot - Search and Destroy. Tego SpyBota to już nie próbuj instalować w przyszłości, to przestarzały i mało dziś skuteczny program - obecnie to on raczej nie wykrywa niż wykrywa... Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1455892284&a=1003478&src=sh&uuid=c6caac1a-85f4-4675-89f2-7ac77a3cfec7" ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1455892284&a=1003478&src=sh&uuid=c6caac1a-85f4-4675-89f2-7ac77a3cfec7" ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1455892284&a=1003478&src=sh&uuid=c6caac1a-85f4-4675-89f2-7ac77a3cfec7" CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1438608766&z=be86496eeb6b95d5845bf38gez2c3b1q7e3b8m3e3c&from=cor&uid=WDCXWD10JPCX-24UE4T0_WD-WX41A54L7153L7153 R2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.) R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.) R2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.) S3 AmUStor; system32\drivers\AmUStor.SYS [X] Task: {5B5A5195-B765-4D36-93BB-43C9296CE953} - System32\Tasks\{584F8B4E-ABE7-4196-B16F-7C50F182BAA5} => pcalua.exe -a D:\Pobrane\pobierz_Aimp_32-64-bit_wersja_stabilna_V3.cpl Task: {6F597132-BA49-4E58-BD28-B9E113378E9F} - System32\Tasks\LuckyBrowse => C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe Task: {7F453DA8-7A86-4B05-9ABE-68CCF4532D04} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe Task: {A27A074F-2021-4B60-938C-15C1DFFFC717} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe Task: {CB71C107-8BD9-4506-BB86-308E4F2F0499} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe Task: {D0D218C6-17A2-48FA-9CEF-F3D1B2A42A8A} - System32\Tasks\{52DB4C0F-841B-4EF2-B8E2-CAC33A2FDD69} => Chrome.exe hxxp://ui.skype.com/ui/0/7.7.0.103/pl/abandoninstall?source=lightinstaller&page=tsBing HKLM-x32\...\Run: [331BigDog] => "C:\Program Files (x86)\USB Camera\VM331STI.EXE" HKLM-x32\...\Run: [sDTray] => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-51339240-3279045181-1421070313-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia AS: Spybot - Search and Destroy (Enabled - Up to date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EPLTarget DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\LuckyBrowse C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\LuckyBrowse C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\Spybot-S&D Start Center.lnk C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\System Scan.lnk C:\ProgramData\Microsoft\Windows\Start Menu\LuckyBrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2 C:\Windows\System32\Tasks\Safer-Networking CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.