picasso

Omyłkowo wstawiłam katalog C:\ProgramData\Kaspersky Lab do usunięcia, ale na szczęście aktywny Kaspersky to zablokował i nic się z katalogiem nie stało. A reszta Fixa wykonana. I ja tu raczej nic więcej nie wymyślę. Są oznaki infekcji sieciowej DNS dziedziczonej przez inne komputery tej sieci. Czyli problemem może być któreś urządzenie na trasie rozdzielania / serwer ("zatruwanie DNS"). Nie ma tu szczegółowych danych na temat konfiguracji serwera i urządzeń.

Podaj raport z FRST zrobiony z poziomu środowiska zewnętrznego: KLIK. Pliki o rozszerzeniu *.vvv to jest najnowsza wersja TeslaCrypt: KLIK. Plików nie da się odkodować żadnymi domowymi metodami ręcznymi. Jedyna opcja to uiszczenie opłaty przestępcom lub ewentualnie supportowi Kasperskiego: KLIK. Wymagany bezpośredni kontakt z supportem Kasperskiego, nie ma dostępnej publicznie żadnej wersji dekodera. W temacie do którego zlinkowałam nastąpiło bardzo dziwne zjawisko, tzn. użytkownik próbował negocjować z przestępcami wielkość opłaty, z niewiadomych przyczyn i bez wyjaśnień dali mu klucz ... za darmo. To jedyny przypadek tego typu jaki znam.

Te znaczniki są dlatego, że zadania są bezplikowe. FRST flaguje puste zadania niezależnie od tego jaki to typ (poprawny lub szkodliwy). To wszystko to prawdopodobnie jest wynik nieudanego podejścia z aktualizacją do wyższego systemu: Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {91DA43E3-C34D-41F2-97A3-27F005F81D05} - System32\Tasks\{52A3B9AF-C3F9-41E0-9BCD-EAD9F8138A73} => C:\.~BT\Sources\setupprep.exe Task: {94C89A2C-E6CA-4572-96D9-36B0BCDAC7C9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku Task: {A1951BA5-DBB4-4CE3-B873-1D9C4A055828} - System32\Tasks\{2F43CCE1-0C52-4F6B-A28B-903359DD8F1C} => C:\.~BT\Sources\setupprep.exe Task: {B7499660-50E0-4979-9CF7-5B270C883C79} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Najlepiej całkowicie odinstalować na czas aktualizacji. I jak mówię, ja tu nie widzę żadnych oznak infekcji.

Poprawki: 1. Nie ma żadnych oznak wykonania tej akcji, nadal adware w Firefox: 2. Otwórz Notatnik i wklej w nim: S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched RemoveDirectory: C:\FRST\Quarantine RemobeDirectory: C:\MATS CMD: del /q C:\Users\L540\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Prawdopodobnie trzeba będzie przeinstalować aplikację DisplayLink Core Software, gdyż w raporcie widać to co poniżej. Usuń te zerobajtowe pliki ręcznie przed reinstalacją aplikacji. Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\SysWOW64\dlumd10.dll C:\Windows\SysWOW64\dlumd11.dll C:\Windows\SysWOW64\dlumd9.dll C:\Windows\System32\dlumd10.dll C:\Windows\System32\dlumd11.dll C:\Windows\System32\dlumd9.dll

Wszystko zrobione, ale jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

RafalM To jest błąd związany z połączeniami do serwerów. Microsoft na ten temat: KLIK. Gdyby nie to, że Kaspersky został tu jakoby odinstalowany, to jego firewall byłby w obszarze podejrzeń. Na wszelki wypadek dodaj nowe raporty FRST (włącznie z Addition), również pod kątem tego zdarzenia:

Specjalizowane narzędzia do skanowania USB (MCShield, USBFix) są linkowane w przyklejonym: KLIK. Poza nimi, nadaje się dowolny antywirus. PS. Ad "miły/miła" = jestem kobietą.

Jest tu więsza ilość problemów, tzn. także aktywne adware WordFly. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj: Adobe AIR (starsza wersja), Java 8 Update 25 (starsza wersja), REACHit (program Lenovo, ale przypuszczalnie to była wymuszona instalacja), WordFly 1.10.0.28 (adware). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Google Update Helper, Metric Collection SDK, Metric Collection SDK 35 > Dalej. Narzędzie nie umożliwia akcji hurtowej i trzeba je uruchomić tyle razy, ile wpisów podanych do usunięcia. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\yahooprotected@gmail.com Task: {1EC7A49C-D5AF-471F-8302-4989414BE893} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {B492AC55-FB80-4659-BC4A-63322F8EF5CD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-04-26] (Lenovo) Task: {EECE3A5B-7F98-4ACA-BDF4-D06721A965DE} - System32\Tasks\{601CD9E2-C7A2-45FE-B17D-A7E38B41B659} => pcalua.exe -a C:\Users\L540\Downloads\irfanview_plugins_438_setup_[www.programosy.pl].exe -d C:\Users\L540\Downloads DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\7WMiniPro7 RemoveDirectory: C:\ProgramData\pWdMp RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\L540\AppData\Local\Google RemoveDirectory: C:\Users\L540\AppData\Local\Opera Software RemoveDirectory: C:\Users\L540\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\L540\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\L540\AppData\Roaming\TSv C:\ProgramData\{*}.* C:\Users\L540\AppData\Local\{72B6D539-A88B-49FA-899D-7191A00806A1} C:\Users\L540\Desktop\Mazda\Outlook 2007.lnk C:\Users\L540\Desktop\Szkolenie serwisowe 2012\Microsoft Office Outlook 2007.lnk C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Pliki autoexec.bat i config.sys nie są istotne, zresztą na mojej Vista są identyczne sumy kontrolne MD5. Omijamy te pliki. Natomiast do naprawy wszystkie wystąpienia pliku aelupsvc.dll.mui: 1. Przesyłam plik: KLIK. Plik umieść w folderze E:\FRST. 2. Do Notatnika wklej: Replace: E:\FRST\aelupsvc.dll.mui C:\Windows\System32\pl-PL\aelupsvc.dll.mui Replace: E:\FRST\aelupsvc.dll.mui C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53\aelupsvc.dll.mui Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie mam danych na temat konfiguracji i zabezpieczeń sieci, więc trudno mi powiedzieć o co chodzi. Ale tu na pewno są objawy infekcji DNS. Gdyby nie to, że jest więcej niż jeden komputer zachowujący się w ten sposób, obstawiałabym cache lokalnego komputera (bufor DNS oraz cache przeglądarki). Ostatecznie mógłbyś spróbować na tym komputerze czy coś pomoże właśnie przeczyszczenie tych miesc (przy okazji pozostałe drobne korekty, w tym usunięcie szczątków po odinstalowanym FF): Otwórz Notatnik i wklej w nim: CloseProcesses: S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 DgiVecp; System32\Drivers\DgiVecp.sys [X] S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKLM\...\Run: [VIAxHCUtl] => C:\VIA_XHCI\usb3Monitor.exe HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-460053187-810554011-2524304945-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-460053187-810554011-2524304945-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-460053187-810554011-2524304945-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\User\AppData\Local\Mozilla RemoveDirectory: C:\Users\User\AppData\Roaming\Mozilla RemoveDirectory: C:\Qoobox RemoveDirectory: C:\zoek RemoveDirectory: C:\zoek_backup CMD: del /q "C:\Users\Nauczyciel\AppData\Roaming\Microsoft\Word\SPR304865601799611001\SPR.docx.lnk" CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go i wypowiedz się czy jest jakaś zmiana.

Problem główny rozwiązany. Jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Formatowanie to byłaby akcja kompletnie nieproporcjonalna. To jest drobny hijacker. I ten typ śmieci wchodzi takimi drogami: KLIK. Został tu uruchomiony jakiś instalator ze sponsorami... Brakuje nowego głównego skanu FRST.txt. Uzupełnij.

1. Uruchom AdwCleaner ponownie. Tym razem po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK. 3. I cały system do aktualizacji. Stan to obecny to brak pakietu SP1 + IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: FF)

Logi nie były za duże, wstawiłam w załączniki. Wszystko pomyślnie wykonane. Na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wracając do postu #10: Tu nie ma problemu infekcji. Za to mamy tu scrackowany Windows (spatchowane pliki generują błędy w Dzienniku zdarzeń). Nie objaśniłeś na czym polega problem "nie da się na nim pracować". Jeśli występuje jakieś zamulenie, to następujące sugestie: 1. Bieda z wolnym miejscem na dysku. Brak dostatecznie dużej przestrzeni może być powodem spowolnienia. Drive c: () (Fixed) (Total:97.65 GB) (Free:6.59 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] 2. Pozbądź się bardzo starych programów, które aktywnie się ładują przy udziale usług i sterowników. Tzn.: - Z poziomu Menu Start uruchom deinstalator Alcohol 120%. Następnie z poziomu Panelu sterowania odinstaluj stary TuneUp Utilities 2011. Możesz także pozbyć się aktualizatora NVIDIA GeForce Experience 1.8.2.1, kilka procesów odpadnie. - Zastosuj narzędzie SPTDInst, by wyrzucić powiązany z Alcoholem sfatygowany SPTD. 3. Aktywność ESET Smart Security może mieć coś do rzeczy. Jeśli w/w kroki nie wniosą nic do sprawy, przetestuj jak system działa po deinstalacji. PS. A w spoilerze drobne działania poboczne i skrypt kosmetyczny do wykonania (mikro odpadki adware, wpisy puste), on nie rozwiąże problemów:

Nie wyjaśniłeś o co chodzi z logiem GMER - podałeś log z cudzego komputera... Tak ma być, Fixlist znika podczas wykonania skryptu. Fix FRST wykonany. Więcej do czyszczenia nic nie ma. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe Shockwave Player 11.6, Java 7 Update 67, Java 8 Update 45 oraz adware Search App by Ask. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64; C:\Windows\System32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys [48792 2015-01-18] (StdLib) R2 IhPul; C:\Users\Admin\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 PicexaService; C:\Program Files (x86)\Picexa\PicexaSvc.exe [731784 2015-12-09] (Taiwan Shui Mu Chih Ching Technology Limited) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\aWdMa\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] HKU\S-1-5-21-3564939431-14407423-2232478383-1001\...\Run: [bingSvc] => C:\Users\Admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421613586&from=cor&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421613586&from=cor&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818831&z=5a0ea02a034ae54c10961f7gdzczao0bdgeb7bec3c&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.msn.com/?PC=AV01 HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH HKU\S-1-5-21-3564939431-14407423-2232478383-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818831&z=5a0ea02a034ae54c10961f7gdzczao0bdgeb7bec3c&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818831&z=5a0ea02a034ae54c10961f7gdzczao0bdgeb7bec3c&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818831&z=5a0ea02a034ae54c10961f7gdzczao0bdgeb7bec3c&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {ACC52B24-A956-4C55-B2A7-64BD53CDAF96} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> {FDFEEB45-4A6B-4A30-8B24-494E19ECF4A8} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-3564939431-14407423-2232478383-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449835247&z=27085065a531c6ad3b146d3g3zfzet9b1cbw4o3z5m&from=ient07021&uid=ST500LT012-9WS142_W0V4CFTH CHR HKU\S-1-5-21-3564939431-14407423-2232478383-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-3564939431-14407423-2232478383-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku CHR HKU\S-1-5-21-3564939431-14407423-2232478383-1001\SOFTWARE\Policies\Google: Ograniczenia Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\aWdMa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit RemoveDirectory: C:\Users\Admin\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{690E0F07-2CBB-4E9E-8468-10B0CAF56D0D} RemoveDirectory: C:\Users\Admin\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\Admin\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Admin\AppData\Roaming\Microsoft\Excel\Projekt-zarzadzanie-13.12304882382700332959\Projekt-zarzadzanie-13.12.xlsx.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Excel\MTM304883490099503112\MTM.xlsx.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Excel\2%20(1)304883681391867324\2%20(1).xlsx.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Public\Desktop\Picexa.lnk C:\Windows\System32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gw64.sys C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\SysWOW64\pl2.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Goole Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowany Bing, o ile nadal będzie widoczny. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W logu są ślady, że problem adware (nie tylko tytułowy) zaczął się przy pobieraniu "Free Word To PDF", użyłeś jakiś "downloader" portalowy... Więcej na ten temat: KLIK. Kolejna sprawa: używałeś skaner-naciągacz SpyHunter, z daleka od tego świństwa, nie szukać "pełnej wersji". I było podejście z HijackThis, a to stary 32-bitowy program zupełnie niezdatny na systemie 64-bit! Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje i pozostałe: Adobe AIR, AVG Web TuneUp, Java 7 Update 17 (64-bit), Java 7 Update 21, Mozilla Firefox 33.1.1 (x86 pl), SpyHunter. Uwaga: zakładam, że deinstalacja Firefox zostanie wykonana i w punkcie 2 w skrypcie doczyszczam elementy Firefox. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WdMan; C:\ProgramData\SWdMS\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [File not signed] ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450070380&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07173&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2044814858-3257045265-4192325483-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2044814858-3257045265-4192325483-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2044814858-3257045265-4192325483-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={93343963-E764-42B8-8047-6BE83FD753AE}&mid=6b0653b77c2147d08c5181ac0f018585-4323c9a1a5a383db39737bd017fae0a1668e3319&lang=en&ds=AVG&coid=avgtbavg&cmpid=0915wt&pr=un&d=2015-09-13 20:01:02&v=4.1.6.294&pid=wtu&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-2044814858-3257045265-4192325483-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448450618&z=75314eddb34a151c27cebf0g8z7z3bdz0wfeccbc5m&from=cor&uid=ST3250410AS_6RY1WRLEXXXX6RY1WRLE HKU\S-1-5-21-2044814858-3257045265-4192325483-1000\...\Policies\Explorer: [] Task: {0E7839FE-EE11-47EF-8C4F-D063070EC499} - System32\Tasks\{2FE8B0D1-4608-4F26-A63F-A98671E9D533} => pcalua.exe -a "C:\Program Files (x86)\Steam\steam.exe" -c steam://uninstall/1250 Task: {0F3AE62F-CE3B-401C-8795-F48408F0BCB2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {2C6EA660-D6E9-4256-9747-59C2C4015781} - System32\Tasks\CTF Host => C:\Users\KO\AppData\Roaming\.minecraft\Ctfhost\ctfhost.exe Task: {4E897B6B-2987-4475-8906-E3436FC3B2BC} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Task: {AD58BF4F-7881-4EE2-B10E-28BCDF613FF1} - System32\Tasks\0915wtUpdateInfo => C:\ProgramData\Avg_Update_0915wt\0915wt_{FBDD9017-B407-48D7-A009-BB1636219C98}.exe Task: {CE1C38E9-EC40-4587-911F-911153215090} - System32\Tasks\{B3996386-9F10-46F8-8A21-547C99CD2D54} => pcalua.exe -a I:\SISetup.exe -d I:\ Task: {F0FB22AB-0316-466B-B3A2-259321D03A34} - \Program aktualizacji online firmy Adobe. -> No File Task: {F12E955B-5C71-49AD-ADFF-BB48133F2220} - System32\Tasks\DLL-Files.Com Fixer_Updates => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\0915wtUpdateInfo.job => C:\ProgramData\Avg_Update_0915wt\0915wt_{FBDD9017-B407-48D7-A009-BB1636219C98}.exe Task: C:\Windows\Tasks\DLL-Files.Com Fixer_MONTHLY.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\DLL-Files.Com Fixer_Updates.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe AlternateDataStreams: C:\ProgramData\Microsoft:ecSWXQzQmt0NYxUedBRJg AlternateDataStreams: C:\ProgramData\Microsoft:NaZu2xXXVCcoQdibmem30Mu4 AlternateDataStreams: C:\ProgramData\Microsoft:YEQkrOj5IinKrit2 AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\MWMiniProM RemoveDirectory: C:\ProgramData\NortonInstaller RemoveDirectory: C:\ProgramData\SWdMS RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\KO\AppData\Local\Lenovo RemoveDirectory: C:\Users\KO\AppData\Local\Mobogenie RemoveDirectory: C:\Users\KO\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\KO\AppData\Local\StormFall RemoveDirectory: C:\Users\KO\AppData\Roaming\dll-files.com RemoveDirectory: C:\Users\KO\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\KO\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\Users\KO\AppData\Roaming\StormFall RemoveDirectory: C:\Users\KO\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\KO\Desktop\SpyHunter 4.16.5.4290 [Eng] patch RemoveDirectory: C:\Users\KO\REACHit RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Users\KO\AppData\Local\Word-to-PDF-Converter_1357.rar C:\Users\KO\AppData\Local\wordtopdf_setup.exe C:\Users\KO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\KO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\KO\Desktop\wordtopdf_setup [1].rar C:\Users\KO\Desktop\wordtopdf_setup [1].exe C:\Users\KO\Downloads\sh-remover.exe C:\Users\KO\Downloads\SpyHunter*.* C:\Windows\System32\Tasks\SpyHunter4Startup C:\Windows\SysWOW64\Z CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} HKU\S-1-5-21-3148115178-2301685078-862424154-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} SearchScopes: HKU\S-1-5-21-3148115178-2301685078-862424154-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446580349&z=16c7d313d9cc5dafe9e5e40g6z3z0q6w7b5e7e3m6o&from=cor&uid=ADATAXSP920SS_8E302000294120002941 Edge HomeButtonPage: HKU\S-1-5-21-3148115178-2301685078-862424154-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450082137&z=988513a45eadc00e82a2b66g7z0wde8e0b8o1g4o1z&from=wpm07173&uid=ADATAXSP920SS_8E302000294120002941 OPR Session Restore: -> [funkcja włączona] Task: {04DF777C-77EF-4C7E-A608-2C019F33BD79} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {1AD9D468-7A76-4C7A-A054-A38EC281E1BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {43E6EC14-A2F4-4BA2-AE40-9232788C9BC4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {53C2CB2C-B62C-4AF5-B5A5-B7FECCA29373} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\WINDOWS\TEMP\DeleteFolderTask.exe [2015-12-14] () Task: {8563FE0A-89C1-4559-AE11-4546B65E89FF} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {A225C590-680B-4E1D-B453-D549D1E05150} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {BEE73AE1-9228-43CD-B7B9-4A73156E7377} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {EDE475D1-651B-4AAA-B91F-B50D9C69C8E9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" S3 4F966B02736503C9; C:\WINDOWS\TEMP\160C40E.sys [165104 2015-12-16] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-16] () S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [82072 2015-09-23] (McAfee, Inc.) Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files\DrWeb RemoveDirectory: C:\Program Files\Common Files\Doctor Web RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\gWMiniProg RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Marcin\AppData\Roaming\TSv RemoveDirectory: C:\Users\Marcin\Doctor Web RemoveDirectory: C:\Windows\System32\Tasks\Doctor Web RemoveDirectory: C:\Windows\System32\Tasks\McAfee C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\system32\Drivers\dw_wfp.sys.delete-later-189796 C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\SysWOW64\data.bin C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź, że problem ustąpił nie tylko w Operze, ale także w Edge.

Tak. Nie wiem w jaki sposób i kiedy zniknął, ale nie na skutek tutejszych działań. Żadna z moich operacji nie dotyczyła tego programu. Program nie był już obecny w formie zainstalowanej w raportach FRST podanych w pierwszym poście - nie ma takiej pozycji w FRST Addition na liście Dodaj/Usuń, a w logu głównym widać tylko te foldery na dysku (i ja ich nie ruszałam): 2015-12-12 17:48 - 2015-12-12 17:48 - 00000000 ____D C:\Documents and Settings\Kasia Rymarska\Moje dokumenty\Lightshot 2015-12-12 17:44 - 2015-12-12 17:44 - 00000000 ____D C:\Program Files\Skillbrains 2015-12-12 17:44 - 2015-12-12 17:44 - 00000000 ____D C:\Documents and Settings\All Users\Menu Start\Programy\Lightshot Skoro zniknięcie było niepożądane, to po prostu go przeinstaluj.

Brakuje raportu Addition.txt.

Fix FRST wykonany. 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Skasuj z folderu "a" na Pulpicie FRST i jego logi. Następnie zastosuj DelFix. I to tyle w zakresie czyszczenia systemu ze śmieci. Problem przegrzewania do działu Hardware.

1. Uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń i pokaż log z usuwania. 2. W systemie są aż trzy konta: ==================== Konta użytkowników: ============================= Admin (S-1-5-21-3039114009-1155605666-1411358329-1000 - Administrator - Enabled) => C:\Users\Admin grzegorz xd (S-1-5-21-3039114009-1155605666-1411358329-1002 - Administrator - Enabled) => C:\Users\grzegorz xd Jurek (S-1-5-21-3039114009-1155605666-1411358329-1004 - Administrator - Enabled) => C:\Users\Jurek Dotychczas był sprawdzany Admin. Wymagane sprawdzenie dwóch pozostałych. Zaloguj się na każde z nich po kolei poprzez pełny restart Windows, a nie Wyloguj czy Przełącz użytkownika, na każdym zrób po dwa logi FRST: FRST.txt + Addition.txt. Shortcut.txt nie jest mi potrzebny.