picasso

To narzędzie Microsoftu służy tylko do usuwania rejestracji MSI produktu i nie jest dedykowane do usuwania SpyHunter. Działania do przeprowadzenia: 1. Nie odinstalowałeś adware QuickSearch. Jeśli pominąłeś to przez nieuwagę, to odinstaluj normalnie przez Panel sterowania. Jeśli natomiast był błąd deinstalacji, i tak zajmie się tym poniższy skrypt FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 zcengine; C:\Program Files (x86)\QuickSearch\zcengine.exe [2435535 2016-01-28] (zcengine) [brak podpisu cyfrowego] R2 zcwfp; C:\Windows\system32\Drivers\zcwfp64.sys [46352 2016-01-11] (zcengine) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-28] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] CMD: netsh winsock reset CMD: type C:\Windows\System32\Tasks\IBUpd2 Task: {0B7D668B-9982-4AB1-8510-5835D835A866} - System32\Tasks\IBUpd2 => C:\Users\Piotr [2016-02-08] () Task: {AC198095-E297-4C08-B1DC-5E204A63B4E4} - \egw3017 -> Brak pliku Task: {B7B36AFD-1A17-43E1-A6CD-0F68904DEA49} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F10DCBBA-CF96-4F43-AF64-0465735D7CE1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcengine => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcwfp => ""="Driver" HKLM-x32\...\Run: [DLLSuite2016] => C:\Program Files (x86)\DLL Suite\DLLSuite.exe HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch C:\END C:\Program Files (x86)\DLL Suite C:\Program Files (x86)\QuickSearch C:\sh4ldr C:\Windows\system32\zcengine64.dll C:\Windows\system32\zcengineOff.ini C:\Windows\system32\log C:\Windows\system32\Drivers\*.tmp C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\sdfhgdf.sys C:\Windows\system32\Drivers\zcwfp64.sys C:\Windows\SysWOW64\zcengine.dll C:\Windows\SysWOW64\zcengineOff.ini E:\Users\Piotr\{3f38c82a-b751-460f-97f0-9a785e951b7e}.tmp E:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat E:\Users\Piotr.SadBanana\AppData\Local\Google E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk E:\Users\SadB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Do usunięcia SpyHunter wykorzystaj specjalizowane narzędzie SpyHunterCleaner. 4. Są tu aż trzy konta: ==================== Konta użytkowników: ============================= Piotr (S-1-5-21-2442656019-2658457348-799937204-1001 - Administrator - Enabled) => E:\Users\Piotr.SadBanana Piotr Nalewajko (S-1-5-21-2442656019-2658457348-799937204-1002 - Administrator - Enabled) => C:\Users\Piotr Nalewajko SadB (S-1-5-21-2442656019-2658457348-799937204-1003 - Limited - Enabled) => E:\Users\SadB Jeśli nie korzystasz z pozostałych, to je usuń przy udziale Panelu sterowania. Ale jeśli są używane, zaloguj się po kolei na każde z nich poprzez pełny restart komputera, a nie opcje Wyloguj / Przełącz użytkownika, i zrób na każdym po dwa nowe logi FRST z opcji Skanuj (Scan), wliczając Addition. Na koncie limitowanym FRST uruchom przez dwuklik a nie opcją "Uruchom jako Administrator", by nie zmienić kontekstu konta. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Tu nie można się dopisywać do cudzych wątków. Wydzielone w osobny temat. Przyczyną powiadomień jest szkodliwe proxy, nabyte prawdopodobnie z jakiegoś instalatora z adware. SpyHunter, pomimo że to program wątpliwej konduity, nie powinien mieć z tym nic wspólnego. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Anita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1449195473&a=1003679&src=sh&uuid=01d89c35-c925-491e-8282-fe81eba2753b" ShortcutWithArgument: C:\Users\Anita\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1449195473&a=1003679&src=sh&uuid=01d89c35-c925-491e-8282-fe81eba2753b" Task: {0BCAA24C-2F4C-4438-B81A-80195EFFB455} - System32\Tasks\LuckyBrowse => C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe Task: {0D3A082F-5B6D-4C48-9C09-7F3DC94C62AF} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {121BFC75-9B72-4B74-A27C-7F088DFD00A6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {20C9A58E-F58B-4CD0-BF75-DCEFE9349CBB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2BD991B5-6155-406F-A4CE-2D6BD5ADBB93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {377C165F-1890-4E7A-A150-263DB8668C9D} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {3B189213-FDBE-4DEC-8E30-567513B92E57} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3CAA0CF0-4CA4-45C9-9650-CFE3B2DDBE4D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {43859894-6211-4243-A8DB-5083C00E3F5E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4A96C5A0-1997-401F-B58A-6D5235776544} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {54EB781F-55A6-48F6-95FA-E825295C8510} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {5CC17FFD-7263-4B4F-98D3-49FA8C65CAEF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {614FD8C8-F608-4D4A-9D7B-B5B81F077676} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {66817B0A-2C32-40D7-936F-EDF9F2468C3E} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {6889E787-2E12-422F-A218-224082B5B58D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {6BB853E4-0885-4B6B-8F43-E202F457D0AB} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {73A43B6E-070B-446B-926F-52B92FB381C3} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {786300AC-C99C-408A-8773-92914DA871EB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7F2D2C01-9D10-446E-84F8-448340C00F1F} - System32\Tasks\KMSAutoNet => C:\ProgramData\KMSAutoS\KMSAuto Net.exe Task: {856E3E82-E8B1-433D-8744-D5DC2BF45B06} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {93E1D463-DEB6-4C80-973F-D8C61ABC35A2} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {948DABB3-644F-471A-9A1D-F5CE8EF15FD2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {99DA50F0-F970-4496-AF66-D22F49D4A023} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {A65B2228-9D26-4681-A893-7F60C0082BC1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {ABFFC970-5F79-4FDD-ADDF-C0AB011A5F2C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {ACC802ED-43FE-4B10-BE90-D25963740BA5} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {AE514418-BC2E-46A3-BDC9-E22AFB33BDCA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B9862925-55C6-4460-8530-7280586C2B0C} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {CA0DFB64-12FE-45A9-88E3-ED342570385C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {CC62EB3F-5459-4550-988C-09208F1E992E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D82B310C-BBE6-4BB2-AFDF-3F0531F306FE} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {DBBF455E-33AE-4A4B-857F-FE8038A0DAF6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {F2DC00B7-C34F-4FF0-A835-092FF78A3611} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {F6EE56A2-0580-4BA3-92AD-38870B91F615} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {F774F101-07AC-4C06-8CBD-01903733CE19} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe U3 idsvc; Brak ImagePath RemoveDirectory: C:\Program Files (x86)\D20F3BAE-1449195566-E111-965B-DC0EA165BF5B RemoveDirectory: C:\ProgramData\KMSAutoS RemoveDirectory: C:\Users\Anita\AppData\Local\D20F3BAE-1449199205-E111-965B-DC0EA165BF5B RemoveDirectory: C:\Users\Anita\AppData\Roaming\ASPackage RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v IAStorIcon /f RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze starych preferencji: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Strzelczanin To jest komenda czyszczenia reguł Zapory systemu Windows - patrz na powiązaną sekcję w FRST Addition i wpisy autoryzacji adware LuckyBrowse + SimpleFiles. Czasem zamiast usuwać "linia po linii" w rejestrze za pomocą FRST robię po prostu ogólny reset usuwający wszystkie niedomyślne wpisy (po w/w komendzie sekcja w FRST Addition jest zupełnie pusta), poprawne istniejące aplikacje ponownie się samoczynnie autoryzują. Misiek87fm Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Post wydzielony w nowy temat: KLIK. Tutaj temat rozwiązany. Zamykam.

Na temat pobierania z KomputerŚwiat i podobnych: KLIK. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Adobe Updater Services; C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service\adb_upds.exe [3613710 2014-07-29] () [brak podpisu cyfrowego] R2 Atheros Utilities Manager; C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal\ath_isvcs.exe [32256 2015-04-22] () [brak podpisu cyfrowego] R2 Lightzap; C:\Documents and Settings\All Users\Dane aplikacji\\Lightzap\\Lightzap.exe [669184 2016-02-07] () [brak podpisu cyfrowego] AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => C:\Documents and Settings\All Users\Dane aplikacji\Lightzap\Viva-Ex.dll [257536 2016-02-07] () HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAIL83ubztNowDRyGaYNvPAWVsfOJVQ3y4VukkbMhFvKFyW7DZxUmtFsj1UCG99bpEabh3_So7OOQv0wEd-4FiQ,, HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} HKU\S-1-5-21-1993962763-1801674531-1606980848-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7WGLePqvqC0xa2bZSnHXiw-rjylve7jEY-e8DhpNiV71uYXrhA9dVoZ0WRmR-O2_XR72cLKtyCt6XUouGSUQ,,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7BIRm3864ovHW57qqCDyjWmJPkNXeDsCRIoLravAFL4fV6NSxZ8kL_SvabKN0gvgiymi1dJIsRhBIElpckAA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Setup.msi C:\Documents and Settings\All Users\Dane aplikacji\Adobe Roaming Service C:\Documents and Settings\All Users\Dane aplikacji\Atheros Internal C:\Documents and Settings\All Users\Dane aplikacji\Lightzap C:\Documents and Settings\All Users\Dane aplikacji\Lightzaps C:\Documents and Settings\All Users\Dane aplikacji\Mobility Manager C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Documents and Settings\mlody\Pulpit\Kontynuuj instalację Rufus 2.6.810.lnk C:\Documents and Settings\mlody\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Common Files\TempTam C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\komputerswiat.pl DeleteKey: HKCU\Software\Mozilla\Seamonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Adddition i Shortcut. Dołącz też plik fixlog.txt.

Operacje do wykonania: 1. Deinstalacje: - Za dużo antywirusów. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj AVG Protection. Od razu usuń też Adobe Flash Player 20 PPAPI - obecnie w systemie brak przeglądarki korzystającej z tej wersji. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {036E1914-06D4-4B49-A5C0-74D6A4A4DCDB} - System32\Tasks\{F2F77055-7278-47FB-90B2-1971B979E715} => pcalua.exe -a "C:\Users\Marta\Desktop\Cywilizacja II (wersja PL).exe" -d C:\Users\Marta\Desktop Task: {0A45CF2E-6D61-4367-ADB5-54544661A0EA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {7071A9E2-C462-4313-805E-6FA76735AE1F} - \Price Fountain -> Brak pliku Task: {A616975A-2272-4BB7-8B2F-F812F4613001} - \BeckedAcclaimerV2 -> Brak pliku Task: {D956DB4E-41E9-4F60-B5B3-532274184413} - System32\Tasks\NonporousPeweeV2 => Rundll32.exe OutfittersArchaism.dll,main 7 1 Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Marta\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-3119999886-1899336274-262433860-1001\...\Run: [bingSvc] => C:\Users\Marta\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445619408&z=f334a4984be851f475aea01g7zfz6w4qdg9t4g7z9m&from=cor&uid=ST500LM021-1KJ152_W62503JF FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\d5vwoniw.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\d5vwoniw.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\ProgramData\exdqolnz.mby C:\Users\Marta\Desktop\Adobe Lightroom.lnk C:\Users\Marta\Desktop\Continue 3nity CD DVD BURNER installation.lnk C:\Users\Marta\Desktop\Continue Microsoft Silverlight Installation.lnk C:\Users\Marta\Desktop\F7ktury.lnk C:\Users\Marta\Desktop\Facebook.lnk C:\Users\Marta\Desktop\Trans.lnk C:\Users\Marta\Desktop\XMind 2012.lnk RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Marta\AppData\Local\BeckedAcclaimer RemoveDirectory: C:\Users\Marta\AppData\Local\NonporousPewee RemoveDirectory: C:\Users\Marta\AppData\Local\Lenovo RemoveDirectory: C:\Users\Marta\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Marta\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\Lenovo DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Sterownik bsdriver nakłada filtr na dysk twardy i jest konieczna specjalna komenda wypięcia tego filtra. Działanie to było prowadzone tu pomyślnie na forum w wielu tematach z tą infekcją i sterownik był usuwany "z palca". Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34712 2016-02-06] () R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc) SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = C:\Program Files\Common Files\jvnqs0gz C:\ProgramData\Airtostrongs C:\ProgramData\ZWdMZ C:\Program Files (x86)\KMSPico 10.0.6 C:\Users\Sobie\AppData\Local\Tempfolder C:\Users\Sobie\AppData\LocalLow\Company C:\Users\Sobie\AppData\Roaming\gplyra C:\Users\Sobie\AppData\Roaming\IuwuoaFhgobj C:\Users\Sobie\Downloads\CCleaner_Setup.exe C:\uninst C:\Windows\system32\das C:\Windows\system32\gidi C:\Windows\system32\drivers\bsdriver.sys C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\MPCKpt.sys C:\Windows\system32\Drivers\etc\hp.bak DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z zaległym Shortcut. Dołącz też plik fixlog.txt.

RegmagiK Registry Editor (wersja 32-bit) Strona domowa Platforma: Windows XP do Windows 11 32-bit i 64-bit Licencja: freeware RegmagiK - Alternatywny szybki edytor rejestru udostępniający wygodną nawigację po rejestrze, wyszukiwanie oraz edycję rejestru. RegmagiK rozszerza funkcjonalność znaną z regedit kilkoma udogodnieniami i unikatowymi funkcjami. Z tej puli należy wyliczyć: pasek narzędziowy i pasek adresów z funkcją autouzupełniania, szybkie wyszukiwanie i prezentowanie wyników wyszukiwania w osobnym panelu na spodzie okna, tworzenie skrótów na Pulpicie otwierających klucze rejestru, automatyczne inteligentne rozpoznawanie ścieżek plików i folderów w danych wartości (z kliku można otworzyć konkretną ścieżkę bezpośrednio w Eksploratorze Windows), odnośniki identyfikatorów GUID ("Go to definition..." i specjalne klikalne oznaczenia uruchamiające wyszukiwanie tych instancji), powiązanie nawigacyjne z oryginalnym regedit.exe (wybrany w RegmagiK klucz może zostać automatycznie otworzony w regedit). Dodatkowo, menu kontekstowe posiada różne opcje nieobecne w regedit, np.: kopiowanie / wycinanie / wklejanie kluczy i wartości, przejmowanie klucza na własność, wyszukiwanie na Google. Jest także możliwy zapis wybranego klucza do surowej gałęzi rejestru. Program ma dość siermiężny i mało nowoczesny interfejs z ikonkami wyglądającymi jak wersje 16-bit, ale w gruncie rzeczy jest to sprawa podrzędna. Darmową edycją jest tylko wersja 32-bit, natywna kompilacja 64-bit niestety płatna. Niemniej wersja 32-bit działa na systemie 64-bit i poprawnie odczytuje 64-bitową część rejestru. Nie wymaga instalacji. Aktualizacja: Program odciął kompatybilność z XP, choć nadal można pobrać wersję zgodną z tym systemem. Ponadto, informacja o darmowej wersji 32-bit jest teraz nieźle zamaskowana i niespójna. Na stronie domowej wyłącznie wzmianka o zakupach. Aczkolwiek po pobraniu wersji 32-bit oznaczonej jako zgodna z Windows 11 i jej uruchomieniu na tym systemie w okienku o programie widnieje napis: "Version: 4.10.7 Freeware for Windows XP 32-bit" (i nie ma odliczania triala jak w przypadku wersji 64-bit).

Tak, wszystko do instalacji, po każdej instalacji powtarzasz rundy z wyszukiwaniem. Może to długo trwać. Jest tak dużo do instalacji, gdyż system był golusieńki, w ogóle nie aktulizowany.

Tylko się upewnię: funkcjonowanie się poprawiło bez wykonywania operacji z czystym rozruchem? I na koniec: Skorzystaj z DelFix oraz zaktualizuj Adobe Reader XI (11.0.13) instalując najnowszą łatkę. Wszystko opisane tutaj: KLIK.

Fix FRST pomyślnie wykonany. Możesz przejść do dalszych kroków. I to koniec operacji.

1. Ostatni skrypt do FRST. Otwórz Notatnik i wklej: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\SimpleFiles Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Przeinstaluj Adobe Flash Player NPAPI Firefoxa, który naruszyłeś. Link do instalatora NPAPI także w w/w linku. To tyle.

Zasady działu: KLIK. Tu jest zakaz podpinania się. Wydzielone w osobny temat. Prócz problemu z PriceFountain, jest dodatkowy - w starcie powstało wiele obiektów wyglądających na jakieś inne malware. Operacje do przeprowadzenia: 1. Odinstaluj zbędny skaner Trojan Remover 6.9.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3AD3F8B1-31D4-49E1-AAAA-0BECA743CA35} - System32\Tasks\KatiSpacesuitsGnarlingV2 => Rundll32.exe BruitsFirewater.dll,main 7 1 Task: {B0F666C8-98BC-4521-86A8-839E036C11BF} - System32\Tasks\Price Fountain => C:\Users\Kati\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Kati\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Startup: C:\Users\Kati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\serdes-5.lnk [2016-02-06] HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\Run: [milliamp-2] => C:\ProgramData\milliamp-57\milliamp-02.exe [487424 2016-02-06] (Oxygen Software) HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\RunOnce: [xmitter-0] => C:\Users\Kati\AppData\Roaming\xmitter-54\xmitter-0.exe [736256 2016-02-06] (RealNetworks, Inc.) HKU\S-1-5-21-282247486-3544188475-3799147128-1000\...\Winlogon: [shell] C:\ProgramData\maxton-9\maxton-0.exe -1i,explorer.exe HKU\S-1-5-21-282247486-3544188475-3799147128-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\id RemoveDirectory: C:\ProgramData\isotope-08 RemoveDirectory: C:\ProgramData\maxton-9 RemoveDirectory: C:\ProgramData\milliamp-57 RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\Kati\AppData\Local\SpacesuitsGnarling RemoveDirectory: C:\Users\Kati\AppData\Roaming\PriceFountain RemoveDirectory: C:\Users\Kati\AppData\Roaming\fission-19 RemoveDirectory: C:\Users\Kati\AppData\Roaming\serdes-9 RemoveDirectory: C:\Users\Kati\AppData\Roaming\xmitter-54 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: del /q "C:\Users\Kati\AppData\Roaming\Canon\MP Navigator EX V30\history\sc\hstr_*.lnk" CMD: del /q C:\Users\Kati\Downloads\adwcleaner*.exe CMD: del /q C:\Users\Kati\Downloads\installer.exe CMD: del /q C:\Users\Kati\Downloads\sh-remover*.exe CMD: del /q C:\Users\Kati\Downloads\trjsetup693*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń stamtąd adresy istartsurf.com + interia.pl. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Operacja przeprowadzona pomyślnie, a ubytki zostały zrekonstruowane. Adobe Flash Player 20 NPAPI przeinstalujesz zaś potem. Teraz: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy CMD: del /q C:\Users\lukasz.niszcz\Desktop\export*.reg Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

W instrukcji tworzenia raportu GMER jest wyraźnie zaznaczone jak zapisać raport, by powstało rozszerzenie *.txt a nie *.log (zabronione w załącznikach). Próbując rozwiązać problem pobierałeś program z czarnej listy - SpyHunter. Z daleka od niego. Do wykonania następujące działania: 1. Odinstaluj starsze wersje i zbędne programy: Adobe Flash Player 20 NPAPI (Firefox został odinstalowany), Adobe Shockwave Player 12.2 (starsza wersja), GeekBuddy (przemycony w instalacji COMODO), Java 8 Update 66 (64-bit) (starsza wersja), McAfee Security Scan Plus (przemycony sponsor instalacji Adobe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1452254085&z=cbe33c3df58f19a649eed77gazew3odocw3z5e6b2b&from=wpm01073&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 StartMenuInternet: (HKLM) OperaStable - Opera.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-349823380-3586821361-4140115957-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {409A204D-1164-453D-8844-208071EC8E02} - System32\Tasks\{B5C60C13-9C2F-45FE-8A6D-24052C3A44F8} => pcalua.exe -a C:\Users\Łukasz\AppData\Roaming\DarkEra\Uninstaller.exe -c /Run /ePN:0D1T1C1J0E1C1T Task: {49D4BB84-418A-4274-B90D-EDE2886B1FCD} - \Microsoft\Windows\Setup\gwx\runappraiser -> Brak pliku Task: {5F5FC5E5-2FE6-4D9B-A65A-657066944244} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {66BF1CD1-801C-432E-8D55-D7036017CE0B} - System32\Tasks\HPCeeScheduleForŁukasz => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe Task: {6B3F7AC7-E0E7-4B3A-A888-A5B3C31056DE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6C81B1C9-1EDE-4785-B1AC-E8B32DF143AB} - \task Update -> Brak pliku Task: {6E9A3B45-07B9-4A3C-8207-1E66B0323619} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {D534EE4D-818D-4568-BE14-4B233F713CD2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E2543A82-EA87-4588-AD0F-9D9DC065B22E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E2DCDC8F-3294-403B-9CDF-0204BAED4E08} - System32\Tasks\{9FFD3CB4-5DE5-4475-B774-FD94FDB7AACF} => pcalua.exe -a F:\AutorunArcanum.exe -d F:\ Task: C:\WINDOWS\Tasks\HPCeeScheduleForŁukasz.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-23] () R2 svcp; C:\WINDOWS\system32\Drivers\svcp64.sys [43800 2015-12-01] (Kurupira.net) S3 ETDSMBus; \SystemRoot\system32\DRIVERS\ETDSMBus.sys [X] C:\Program Files (x86)\RayDld C:\Program Files (x86)\SFK C:\Program Files (x86)\TDataDld C:\Program Files (x86)\yessearches-bnd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\5WdM5 C:\ProgramData\7WdM7 C:\ProgramData\cWdMc C:\ProgramData\Microsoft\Windows\GameExplorer\{F1AB869D-89BC-4FC9-B966-FE7B566543D0} C:\Users\Łukasz\AppData\Local\Mozilla C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Łukasz\AppData\Roaming\Mozilla C:\Users\Łukasz\AppData\Roaming\TSv C:\Users\Łukasz\AppData\Roaming\WarThunder C:\Users\Łukasz\Downloads\SpyHunter_4 1 11 0_[ENG]_[Crack][Torrenty.org].torrent C:\Users\Łukasz\Downloads\SpyHunter-Installer.exe C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\system32\Drivers\EsgScanner.sys C:\WINDOWS\system32\Drivers\svcp64.sys DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Adware nabyte przypuszczalnie z jakiegoś portalu (np. dobreprogramy.pl): KLIK. Obiekt działa globalnie poprzez Harmonogram zadań (zadanie CanningsCakewalkV2), reklamy będą widoczne w dowolnej przeglądarce. Operacje do przeprowadzenia: 1. Odinstaluj poprzez Panel sterowania bardzo stare wersje: Adobe Flash Player ActiveX, Adobe Reader X (10.1.0) - Polish, Google Desktop. Ponadto, z poziomu Menu Start wywołaj deinstalację IObit Malware Fighter - program wątpliwej reputacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {9C4BB0AD-D4BD-4B83-9DCF-8A6CE830DBA6} - System32\Tasks\CanningsCakewalkV2 => Rundll32.exe CurvettingPredict.dll,main 7 1 <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Szymek\AppData\Local\CanningsCakewalk RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Users\Szymek\Downloads\sh-remover.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Szymek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Problem powinien ustąpić.

Usunąłeś poprawne komponenty: HKLM\...\Run: [Apoint] => C:\Program Files\DellTPad\Apoint.exe [745288 2015-06-25] (Alps Electric Co., Ltd.) HKU\S-1-5-21-1659004503-920026266-725345543-24878\...\RunOnce: [uninstall C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64" HKU\S-1-5-21-1659004503-920026266-725345543-24878\...\RunOnce: [uninstall C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\lukasz.niszcz\AppData\Local\Microsoft\OneDrive\17.3.5892.0626" ShortcutTarget: vpngui.exe.lnk -> C:\Windows\Installer\{5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D}\Icon09DB8A851.exe () FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_20_0_0_286.dll [2016-01-21] () FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_20_0_0_286.dll [2016-01-21] () R2 MlPatch; C:\Windows\system32\MlPatch.exe [2244912 2014-08-22] () R3 MkBusFilter; C:\Windows\system32\DRIVERS\MbmDeviceFilter.sys [50912 2015-08-03] () - Instalację Adobe Flash w Firefox - Wpis startowy Cisco Systems VPN Client (vpngui.exe.lnk) - Wpis startowy Dell odpowiedzialny za uruchamianie touchpad (Apoint) - Sterownik Dell Mobile Broadband (MkBusFilter) - Składnik Trigger External Graphics Family 15.05.1124.0179 (MlPatch). Popatrz w raporcie na składniki "Magic Control": HKLM\...\Run: [TUCCDUtil] => C:\Program Files (x86)\Mct Corp\UVTP100\Driver\TUCCDUTIL\TUCCD.exe [1892560 2015-11-24] (Magic Control Technology Corporation) R3 mctkmd; C:\Windows\system32\drivers\mctkmd64.sys [166608 2015-11-20] (Magic Control Technology Corporation) R0 mctkmdldr; C:\Windows\System32\drivers\mctkmdldr64.sys [19584 2011-04-08] (Magic Control Technology Corporation) S3 t2usb64; C:\Windows\system32\drivers\t2usb64.sys [462632 2015-11-30] (Magic Control Technology Corp.) 2015-12-29 15:52 - 2015-11-20 18:26 - 00166608 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\Drivers\mctkmd64.sys 2015-12-29 15:52 - 2015-11-19 12:05 - 00251632 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\mctux.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00251632 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\igdumdmx.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00203216 _____ (Magic Control Technology Corporation) C:\WINDOWS\SysWOW64\MCTU.dll 2015-12-29 15:52 - 2015-11-19 12:05 - 00203216 _____ (Magic Control Technology Corporation) C:\WINDOWS\SysWOW64\Igdumdmu.dll 2015-12-29 15:52 - 2014-08-22 17:10 - 02244912 _____ C:\WINDOWS\system32\mlpatch.exe 2015-12-29 15:52 - 2013-12-27 12:17 - 02215704 _____ (Magic Control Corp.) C:\WINDOWS\system32\MctKmdSvrx.exe 2015-12-29 15:52 - 2012-08-28 14:20 - 00313432 _____ C:\WINDOWS\system32\GManager.exe 2015-12-29 15:52 - 2012-03-02 15:49 - 00013440 _____ C:\WINDOWS\system32\Drivers\u3hpatch64.sys 2015-12-29 15:52 - 2011-04-08 16:38 - 00019584 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\Drivers\mctKmdldr64.sys 2015-12-29 15:52 - 2010-08-20 14:03 - 00336248 _____ (Magic Control Technology Corporation) C:\WINDOWS\system32\mctsetup64.dll 2015-12-29 15:47 - 2015-12-31 01:43 - 00000000 ____D C:\Program Files (x86)\Mct Corp Adobe Flash da się przeinstalować, natomiast reszta wymaga rekonstrukcji (przywrócenie plików i odbudowa wpisów startowych, o ile nie usunąłeś folderu C:\FRST z kopią zapasową rejestru). Do usunięcia są także inne rzeczy, np. zmodyfikowany przez adware skrót przeglądarki, martwe zadania w Harmonogramie pozostawione po notyfikatorze darmowej aktualizacji do Windows 10 oraz Media Center odinstalowanym przy aktualizacji. Czyli: 1. Odinstaluj Spybot - Search & Destroy. To przestarzały program, dziś mało użyteczny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\lukasz.niszcz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursearching.com/?type=sc&ts=1453129004&z=ebaf80af459dbc8bae475f8gfz9wec6g7o7teefe1z&from=exp1&uid=liteonitxlcm-256m3sx2x5xx7mmx256gb_tw0wkjr2550852c51502 U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKU\S-1-5-21-2387826781-902882918-947777316-500\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun Task: {02FC9FF5-8759-49FC-9CEB-686FC7FB5A4E} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {0CD6FF09-58A3-4B2C-927B-7528CED8B7A9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {0EC5C0BE-5CCC-4B19-ADE9-F00C2EA7A267} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {1259D7A2-134A-4A0B-908C-F038C08D8E12} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {1464FBD3-68B0-4567-B6EF-5EE5929FC180} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {1799C230-7D13-4C25-8026-F135FBC20A9E} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {334E3401-1738-40F6-8640-E30C76D98C3D} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {37491E6E-81B9-43CF-A4F9-0B054203ADC4} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3832A5E1-E6BF-45A2-BE4B-D535C92939D1} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3A61D3FB-1D1C-4F15-8D58-93B9E7778CC2} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3AE0C5C2-9C2E-4BC7-B6CC-DF3D0425FE7D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {424A2DC0-88C0-4442-9079-43527CC810FE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {51B3CCB5-CE4E-4B7D-A028-EE914860072C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {5649A0FA-B3B2-4067-B809-00EA4D7A255E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {60D80493-221D-4FEE-8596-B67C84E6BD80} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {68F5A15E-57C5-4CA4-808A-B2F97A507886} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {71C3449B-4B84-4E11-8C49-84D6D84AA0F6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {77591D06-86C6-4E4C-B6F2-46B5399D1082} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {88C0CB85-782F-4CA6-85E6-1136C50245DA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {893EEC8C-003A-4C87-A0A9-F7869ACE79F7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {976FE15B-5248-4F51-8D5D-D8FF90FAFE65} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {97FA0725-3EEE-4BC3-8487-5BB07B2C9DB5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {A305727A-EB4F-4751-8A99-43C9F27524C0} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B108752F-F16E-4BD5-BF31-66DC182F7830} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {B6410507-ECA5-4F14-B9D8-C34CADC25BD1} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BDD6B031-47CB-4D01-973F-A4FF0FB3EE3B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C102FEE8-0B5E-43DF-A756-0F125A3B9555} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {C390023C-5579-4319-9CB5-B0ECF3022579} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {D738B853-C2B8-4FFC-B73E-84ACE112FD17} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DE29C916-A03A-4B72-856C-4D3FB22D1685} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {E7BC4C15-A7BD-4D5B-A6BB-EFE10E2A37EE} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {EC9853A0-423E-4202-9F71-938F67F86BE4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {EEB31A48-A641-4B29-BBD5-26CFF758BFF0} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {F26EDAED-07CA-4403-89EE-8A6914E0F48A} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center RestoreQuarantine: C:\FRST\Quarantine\C\Windows\Installer\{5FDC06BF-3D3D-4367-8FFB-4FAFCB61972D}\Icon09DB8A851.exe.xBAD RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\MlPatch.exe.xBAD RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\DRIVERS\MbmDeviceFilter.sys.xBAD Reg: reg load HKLM\TEMP C:\FRST\Hives\SOFTWARE Reg: reg export HKLM\TEMP\Microsoft\Windows\CurrentVersion\Run C:\Users\lukasz.niszcz\Desktop\export1.reg Reg: reg unload HKLM\TEMP Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEM Reg: reg export HKLM\TEMP\ControlSet001\Services\MlPatch C:\Users\lukasz.niszcz\Desktop\export2.reg Reg: reg export HKLM\TEMP\ControlSet001\Services\MkBusFilter C:\Users\lukasz.niszcz\Desktop\export3.reg Reg: reg unload HKLM\TEMP CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na Pulpicie powstały trzy pliki export1.reg, export2.reg, export3.reg. Otwórz je do edycji w Notatniku. W pliku export1.reg zamień fragment w ścieżkach dostępu: HKEY_LOCAL_MACHINE\TEMP na HKEY_LOCAL_MACHINE\SOFTWARE W plikach export2.reg i export3.reg zamień: HKEY_LOCAL_MACHINE\TEMP na HKEY_LOCAL_MACHINE\SYSTEM Zapisz zmiany, następnie z prawokliku na wszystkie pliki opcja Scal. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie. Do interpretacji logów nie ma programów. Jest niemożliwym skonstruować taki automat. Jest zbyt wiele czynników, które są poddawane analizie i po prostu jest wymagana określona wiedza o Windows i infekcjach.

Jak mówiłam, wszystko w porządku, nie ma żadnych oznak instalacji śmieci. A ten tajemniczy "TODO" to jest proces WildTangent Games preinstalowany na laptopach Acer. Usługa jest ustawiona na Automatycznym, więc będzie się próbowała uruchamiać. S2 GamesAppIntegrationService; C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe [235008 2013-07-16] (TODO: ) [brak podpisu cyfrowego] PS. Twój nośnik instalacyjny Windows nie jest oczywiście "czysty", w rozumieniu, że producent dointegrował masę własnych aplikacji i "format" oznacza zrzucenie Windows już mocno przetworzonego przez producenta. Niektóre aplikacje są niepotrzebne. Np. do deinstalacji stary McAfee. W podsumowaniu, to wszystko można odinstalować (pomijając te aplikacje z których rzeczywiście korzystasz): ==================== Zainstalowane programy ====================== Acer Docs (HKLM-x32\...\{CA4FE8B0-298C-4E5D-A486-F33B126D6A0A}) (Version: 1.01.3006 - Acer Incorporated) Acer Media (HKLM-x32\...\{E9AF1707-3F3A-49E2-8345-4F2D629D0876}) (Version: 2.02.3104.3 - Acer Incorporated) Acer Photo (HKLM-x32\...\{B5AD89F2-03D3-4206-8487-018298007DD0}) (Version: 2.02.3104.6 - Acer Incorporated) Acer Portal (HKLM-x32\...\{A5AD0B17-F34D-49BE-A157-C8B3D52ACD13}) (Version: 2.02.3104 - Acer Incorporated) Acer Remote Files (HKLM\...\{13885028-098C-4799-9B71-27DAC96502D5}) (Version: 1.00.3007 - Acer Incorporated) CyberLink PowerDVD 12 (HKLM-x32\...\InstallShield_{B46BEA36-0B71-4A4E-AE41-87241643FA0A}) (Version: 12.0.3323.57 - CyberLink Corp.) eBay Worldwide (HKLM-x32\...\{91589413-6675-4C27-8AFC-EFB9103B90A5}) (Version: 2.4.0105 - OEM) Identity Card (HKLM-x32\...\{3D9CB654-99AD-4301-89C6-0D12A790767C}) (Version: 2.00.8100 - Acer Incorporated) Live Updater (HKLM-x32\...\{EE26E302-876A-48D9-9058-3129E5B99999}) (Version: 2.00.8100 - Acer Incorporated) McAfee LiveSafe – Internet Security (HKLM-x32\...\MSC) (Version: 12.8.397 - McAfee, Inc.) Microsoft Office (HKLM-x32\...\{90150000-0138-0409-0000-0000000FF1CE}) (Version: 15.0.4454.1510 - Microsoft Corporation) Nero BackItUp 12 Essentials OEM.a01 (HKLM-x32\...\{551AC8F2-FEA2-4B45-ACF7-C98681233CC9}) (Version: 12.5.01200 - Nero AG) Norton Online Backup (HKLM-x32\...\{E625FCA0-E43E-4D3B-92FF-4851308A0366}) (Version: 2.8.0.44 - Symantec Corporation) Office Addin (HKLM-x32\...\{6D2BBE1D-E600-4695-BA37-0B0E605542CC}) (Version: 2.02.2009 - Acer) WildTangent Games (HKLM-x32\...\WildTangent wildgames Master Uninstall) (Version: 1.0.4.0 - WildTangent)

Błąd WinThuster z tej samej kolekcji co reszta. Wygląda na to, że jest rozległe uszkodzenie rejestru. Do przywracania poprzedniej wersji rejestru służy właśnie Przywracanie systemu, które tu całkowicie odpada. Masz jednak jeszcze jedną kopię rejestru typu RegBack, która jest nieco starsza: LastRegBack: 2016-01-20 21:23 Spróbujmy ją zrzucić. Jeśli to skończy się niepowodzeniem, zostaje reinstalacja systemu. 1. Otwórz Notatnik i wklej w nim: LastRegBack: 2016-01-20 21:23 Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST w środowisku WinRE: KLIK. Klik w Napraw (Fix), powstanie na pendrive plik fixlog.txt. 3. Uruchom ponownie Windows. Zrób nowe logi FRST (wliczając Addition i Shortcut). Dołącz fixlog.txt oraz wypowiedz się czy są zmiany.

Zamknąłeś, ale nie pobrałeś danych o procesie (do jakiego pliku na dysku się odnosił), więc pewnie on się znowu pojawi podczas uruchamiania określonej aplikacji. Poza tym, takie opowieści na podstawie obrazka są nieprecyzyjne. Do oceny procesów niedomyślnych służą logi FRST.

W raportach nie widać oznak infekcji (pomimo "podejrzanego" wyniku GMER). Skype typu Desktop został już odinstalowany, więc nie ma możliwości sprawdzenia jego ustawień (opcje "Kontrola dostępu do API"). PS. Możesz wykonać skrypt kosmetyczny usuwający szczątki Skype i inne drobnostki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {7945089E-D735-4AC5-9E12-FB2678592831} - System32\Tasks\{9F967DDE-9254-426D-8D20-102DC27586CE} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.17.0.105/en/abandoninstall?page=tsProgressBar Task: {FDC1914D-0E53-4D5F-B8E2-20C814926B9D} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) C:\ProgramData\Skype C:\Users\dawid\AppData\Roaming\Skype EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Wg obrazka wszystko w porządku. "Runtime Broker" i "Store Broker" to natywne procesy systemowe powiązane z aplikacjami modern oraz Sklepem Windows. Pokki to preintegrowane na niektórych laptopach (np. Lenovo) aplikacje, pomijając że są kwestionowalnej jakości. A jeśli chodzi o "TODO" to jest to opis "bez opisu", pobierz właściwości z prawokliku i pokaż jaki jest plik docelowy. To co mówiłam wcześniej nie aplikuje się do Menedżera zadań o który Ci teraz chodzi.

Ale o jakich plikach mówisz? To co mi pokazywałeś wcześniej na obrazkach to pliki systemowe niezbędne do poprawnego działania Windows, a nie infekcja (infekcja była zupełnie gdzie indziej). Widoczne, jeśli w Opcjach folderów jest odznaczona opcja "Ukryj chronione pliki systemu operacyjnego".

Ten instalator SP1 to ja przecież podaję też w przyklejonym: KLIK. Ale mówię przecież, że zacznij nie od ręcznej instalacji SP1, tylko od uruchomienia kopleksowego Windows Update z poziomu systemu, bo może brakować łat które są wymogiem do instalacji SP1.

Nazwy raportów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum. Zasadnicze bieżące raporty są w folderze skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane. Brak też trzeciego obowiązkowego raportu FRST Shortcut. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {5013556F-659E-4297-A91D-DB5AF7D33CC1} - System32\Tasks\Price Fountain => C:\Users\ABC\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {78589761-0C5C-44DF-A3B6-2EFE3E34EC70} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {B139C68B-7F46-4DA5-B988-9CB55CF042E5} - System32\Tasks\ABCAlateApsesV2 => Rundll32.exe CohortOverconscientious.dll,main 7 1 Task: {ECA2C614-3D93-479C-9B66-67B90EEA5A6E} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\ABC\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE BootExecute: autocheck autochk * sasnative64 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy C:\AVScanner.ini C:\Program Files (x86)\Opera C:\ProgramData\McAfee C:\Users\ABC\AppData\Local\AlateApses C:\Users\ABC\AppData\Local\Opera Software C:\Users\ABC\AppData\Local\Systweak C:\Users\ABC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\ABC\AppData\Roaming\Opera Software C:\Users\ABC\AppData\Roaming\Shortcut C:\Users\ABC\AppData\Roaming\Systweak C:\Users\ABC\AppData\Roaming\WarThunder C:\Users\ABC\Downloads\aspsetup.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition oraz Shortcut. Dołącz też plik fixlog.txt.