picasso

Operacje do przeprowadzenia: 1. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj stare wersje: Acrobat.com, Adobe AIR, Certified Toolbar 2.5 (adware), ImageShack Uploader 2.2.0 (już nie działa), Java 7 Update 71, RealPlayer, OpenOffice.ux.pl 2.3.1, Photo Notifier and Animation Creator, PhotoMail Maker (oba od wątpliwego producenta IncrediMail Ltd.), Shockwave. Najnowszy OpenOffice zainstalujesz potem. - Są tu ślady po niepoprawnie odinstalowanym HotspotShield. Upewnij się, że nie są filtrowane karty sieciowe, czyli: Panel sterowania > Połączenia sieciowe > z prawokliku na każde z tam obecnych pobierz Właściwości > w karcie Ogólne sprawdź jakich komponentów używa połączenie. Jeśli znajdziesz pozycję HotSpot Shield, odinstaluj i zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\nWdMn\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R3 HssDrv; C:\WINDOWS\System32\DRIVERS\HssDrv.sys [40648 2013-02-12] (AnchorFree Inc.) S3 taphss; C:\WINDOWS\System32\DRIVERS\taphss.sys [33512 2013-02-12] (AnchorFree Inc) ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159&q={searchTerms} HKU\S-1-5-21-2052111302-790525478-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKU\S-1-5-21-2052111302-790525478-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2052111302-790525478-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-2052111302-790525478-725345543-1004 -> {2381E4B7-5C04-459E-9D46-2F9AC1608B66} URL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=ysp SearchScopes: HKU\S-1-5-21-2052111302-790525478-725345543-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159&q={searchTerms} BHO: Brak nazwy -> {010e44c0-8bda-476c-9cee-e7a8c632e840} -> Brak pliku BHO: Wondershare Video Converter Ultimate 7.1.0 -> {451C804F-C205-4F03-B48E-537EC94937BF} -> C:\DOCUME~1\ALLUSE~1\DANEAP~1\WONDER~1\VIDEOC~1\WSBROW~1.DLL => Brak pliku Toolbar: HKU\S-1-5-21-2052111302-790525478-725345543-1004 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku CustomCLSID: HKU\S-1-5-21-2052111302-790525478-725345543-1004_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2052111302-790525478-725345543-1004_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Documents and Settings\Kasia Rymarska\Pulpit\2012 Christmas Performance - Silhouette (Strange).mp (dane wartości zawierają 19 znaków więcej). FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Plugin HKU\S-1-5-21-2052111302-790525478-725345543-1004: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\q9981sq3.default-1431123977156\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\q9981sq3.default-1431123977156\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\q9981sq3.default-1431123977156\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\Mozilla\Firefox\Profiles\q9981sq3.default-1431123977156\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2012-05-22] CHR HKLM\...\Chrome\Extension: [jinhmcmpnjkjciebbipoojdnnbmjilog] - C:\Program Files\CertifiedToolbar\chrome\CertifiedToolbar.crx StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450077902&z=c40cfb709e4c314e7fce89egcz3wdefe5mdmdbdt7w&from=wpm07173&uid=WDCXWD2500AAKS-00VSA0_WD-WMART144715947159 HKLM\...\Run: [bigDog305] => C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305) HKLM\...\Run: [TrayServer] => C:\Program Files\MAGIX\Movie_Edit_Pro_14_PLUS_Download_version\TrayServer.exe HKLM\...\Run: [Freecorder FLV Service] => "C:\Program Files\Freecorder\FLVSrvc.exe" /run HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2020704 2014-08-05] (Wondershare) HKLM\...\Run: [DelaypluginInstall] => C:\Documents and Settings\All Users\Dane aplikacji\Wondershare\Video Converter Ultimate\DelayPluginI.exe [1960336 2014-09-26] () HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [Picasa Media Detector] => C:\Program Files\Picasa2\PicasaMediaDetector.exe HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [swg] => "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [incrediMail] => C:\Program Files\IncrediMail\bin\IncMail.exe /c HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [sPMTray] => C:\Program Files\PC Speed Maximizer\SPMTray.exe HKU\S-1-5-21-2052111302-790525478-725345543-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\Kasia Rymarska\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe" S4 IntelIde; Brak ImagePath S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [X] S3 vvftav; system32\drivers\vvftav.sys [X] S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [X] S3 ZSMC0305; System32\Drivers\usbVM305.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\JWdMJ RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\nWdMn RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Wondershare RemoveDirectory: C:\Documents and Settings\Kasia Rymarska\Dane aplikacji\TSv RemoveDirectory: C:\Documents and Settings\Kasia Rymarska\Menu Start\Programy\CdCoverCreator RemoveDirectory: C:\Documents and Settings\Kasia Rymarska\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files\SFK RemoveDirectory: C:\Program Files\Common Files\Wondershare RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Menu Start\Programy\QuickTime\QuickTime Player (3).lnk C:\Documents and Settings\All Users\Menu Start\Programy\QuickTime\QuickTime Player.lnk C:\Documents and Settings\Anusia\Menu Start\IncrediMail.lnk C:\Documents and Settings\Anusia\Pulpit\Świadectwa Optivum.lnk C:\Documents and Settings\Anusia\Pulpit\salatki\Adobe Reader 9.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Acrobat_com.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Adobe Reader 9.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Animations for Messenger.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Free Games & Music.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\IncrediMail.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Konfiguracja.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\McAfee Security Scan Plus.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Speed up your computer!.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Wallpapers by IncrediMail.lnk C:\Documents and Settings\Anusia\Pulpit\Programy\Yahoo! Messenger.lnk C:\Documents and Settings\Kasia Rymarska\Moje dokumenty\Kościół\Służby\Służba Techniczna\Okładka na płytę\CdCoverCreator.lnk C:\Documents and Settings\Kasia Rymarska\Moje dokumenty\Dropbox (Stary)\rozne\notatka bartka.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Adobe Reader 8.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Adobe Reader 9.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\avast! Antivirus.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Free Games & Music.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Google Desktop.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\IncrediMail.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Konfiguracja.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Mozilla Firefox.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Nvu.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Picasa2.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\RealPlayer.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Skype.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Speed up your computer!.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\USB PC Camera VC305.lnk C:\Documents and Settings\Kasia Rymarska\Pulpit\Nieużywane skróty pulpitu\Wallpapers by IncrediMail.lnk C:\Documents and Settings\Kasia Rymarska\Ustawienia lokalne\Dane aplikacji\updater.log C:\Documents and Settings\Kasia Rymarska\Ustawienia lokalne\Dane aplikacji\UserProducts.xml C:\WINDOWS\System32\DRIVERS\HssDrv.sys C:\WINDOWS\System32\DRIVERS\taphss.sys CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To tyle.

Wyciągi ze starego "usera" oraz nowego konta nie są już potrzebne skoro akcja już wykonana. Na koniec jeszcze te operacje: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj E:\Programy\FRST. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

3xTak. Wszystkie operacje z poziomu Arka (konto o uprawnieniach administracyjnych).

DelFix wykonał zadanie. Skasuj plik C:\delfix.txt. Nie. Czyszczenie Tempów było w skrypcie FRST (komenda EmptyTemp:), czyszczenie folderów Przywracania się nie aplikuje (wyraźnie mówiłam powyżej, że jest wyłączone). Możesz za to zaktualizować Adobe Reader do wersji DC (o ile Ci odpowiada) oraz Firefoxa. Nie za bardzo rozumiem ten wątek, o jakim "wyłączaniu" tu mowa, gdzie konkretnie / w jaki sposób? A ten problem z msconfig to nie ma związku z tym wszystkim.

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA32987D-DB80-4CCB-A8BB-F812B5421C0F} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{EAF8EEB4-71A2-41DA-B91C-6E2904B188CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursearchingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAF8EEB4-71A2-41DA-B91C-6E2904B188CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{23D34738-E43F-455B-B9FE-56968533500D} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Tomasz\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\SysWOW64\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Usuń D:\Download\frst. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

No ja myślałam, że usunięcie kont nie jest po prostu możliwe, że są potrzebne. Skoro tu jest droga wolna, to rzecz jasna usunięcie kont (z potwierdzeniem usuwania danych z dysku) to najszybsze rozwiązanie. Gdy to już przeprowadzisz, końcowe kroki: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny, by ograniczyć podobne problemy: KLIK.

Wszystko zrobione. 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Spróbuj ponowić instalację wybranego antywirusa.

Wszystko zrobione. Teraz trzeba będzie przemyśleć sprawę Pauliny i Zbigniewa. Poproszę o pełne kopie rejestru tych kont. Konta nie mogą być zalogowane, by dało się przekopiować rejestr, czyli pełny restart kompa i logujesz się na Arka. Z jego poziomu skopiuj mi te pliki: C:\Users\Paulina\NTUSER.DAT C:\Users\Paulina\AppData\Local\Microsoft\Windows\UsrClass.dat C:\Users\Zbigniew\NTUSER.DAT C:\Users\Zbigniew\AppData\Local\Microsoft\Windows\UsrClass.dat Pliki spakuj do ZIP, shostuj gdzieś i prześlij mi na PW link. Analiza i ewentualna ręczna korekta tych plików zajmie mi sporo czasu.

Ale tu nie koniec! Wszystko musi być potwierdzone, bo w skrypcie mogło coś nie przetworzyć, a poza tym jeszcze będą inne działania do wdrożenia. Prosiłam wyraźnie:

Wszystko zrobione. Poprawki: 1. Uruchom ponownie ten specjalny deinstalator Microsoftu i tym razem za jego pomocą usuń ukryty odpadek Acrobat.com. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Ten rodzaj problemów ma taką oto przyczynę: KLIK. Tu na pewno była jakaś instalacja tego rodzaju. Na 100% korzystałeś też ze świńskiego "Asystenta pobierania" dobrychprogramów, bo w moim skrypcie zadałam usuwanie jego kluczy rejestru i zostały one znalezione, ten pierwszy klucz to rodzaj "śledzącego ciastka" powiązanego z Asystentem-przekrętem: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I => klucz pomyślnie usunięto HKCU\Software\dobreprogramy => klucz pomyślnie usunięto Adobe Reader 9.0.0 to stara niebezpieczna wersja z lukami, nie wspierana przez producenta (brak aktualizacji bezpieczeństwa). Mnóstwo wersji po zostało wydanych, tzn. linie X, XI, DC. Najnowsze wersje Adobe Reader to XI 11.0.13 (ostatnia załatana z tej standardowej linii, choć edycja też porzucona) lub najnowsza linia DC (to już aplikacja oparta na chmurze). Wszystko wyłożone w przyklejonym: KLIK.

Jaki błąd podczas instalacji Adobe Reader i którą wersję próbujesz instalować? Ponowne sprawdzanie czystości, czy coś Cię niepokoi konkretnie? Możesz dla świętego spokoju dodać świeże raporty z FRST. Tak swoją drogą to Windows 8 ma wbudowaną przeglądarkę PDF: KLIK / KLIK.

DelFix wykonał zadanie. Skasuj plik C:\delfix.txt. To tyle.

Nie widzę tu żadnych oznak czynnej infekcji, za wyjątkiem kilku rozszerzeń adware w Google Chrome: - W aktywnym profilu zestaw EasyDocMerge, MergeDocsOnline, PConverter. Należą one do tej grupy: KLIK. Wszystkie odinstalować. - W nieużywanym profilu Google Chrome z kolei V-bates. W Ustawienia > Ustawienia > Osoby > usuń ten cały nieużywany profil, o ile widoczny. Do usunięcia byłyby też drobne puste wpisy, ale to nie takie ważne i potem to można wdrożyć. Jaką etykietę miały te zagrożenia (nazwa zagrożenia) oraz jakie konkretnie ścieżki dostępu (kierunek na pliki systemowe czy programów trzecich)? "Chwilę po" czyli kiedy przestaje działać Wi-fi? I czy na pewno nie ma tu nic do rzeczy Norton Internet Security?

Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu już zbędny folder Stare dane programu Firefox. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do aktualizacji Internet Explorer, nawet jeśli z niego nie korzystasz wcale.

Wszystko zrobione. Drobniutkie poprawki końcowe, przy wyłączonym COMODO. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4237668962-1813254712-1803451927-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Piotrek\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\1ognvtv4.default RemoveDirectory: C:\Users\Piotrek\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Pro. Mocno podejrzane rozszerzenie, usunięte z Chrome Web Store. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu zbędny już folder Stare dane programu Firefox. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Fix FRST pomyślnie wykonany. To są foldery utworzone przez Windows Update. Aktualizacje przed instalacją są rozpakowywane do losowych alfanumerycznych folderów na partycję z największą ilością wolnego miejsca, czyli niekoniecznie C:. Tu statystyki miejsca na dysku: ==================== Dyski ================================ Drive c: () (Fixed) (Total:45.46 GB) (Free:18.54 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Drive d: () (Fixed) (Total:65.31 GB) (Free:49.54 GB) NTFS Drive e: () (Fixed) (Total:97.65 GB) (Free:56.51 GB) NTFS Drive f: () (Fixed) (Total:24.44 GB) (Free:4.46 GB) NTFS Folderów nie da się usunąć, gdyż mają uprawnienia poziomu konta SYSTEM (w takim kontekście działała instalacja aktualizacji). W skanie FRST ich nie widać, gdyż FRST jest orientowany tylko na partycję systemową. Jeśli chcesz je usunąć, to możesz użyć następujący skrypt FRST: RemoveDirectory: D:\NazwaFolderu RemoveDirectory: E:\NazwaFolderu

Log FRST nadal nie skonfiurowany jak należy, opcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych. I używałeś skaner-naciągacz SpyHunter - z daleka od teo dziadostwa. Operacje do przeprowadzenia: 1. Deinstalacje: - Odinstaluj stare wersje z groźnymi lukami: Acrobat.com, Adobe Reader 9. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. To odpadek po niechcianej instalacji Lenovo REACHit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Tomasz\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-14] (tsvr.com) R2 WdMan; C:\ProgramData\FWdMF\WdMan.exe [333312 2015-12-14] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-15] () ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM ShortcutWithArgument: C:\Users\Tomasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} HKU\S-1-5-21-3503408769-2592613405-2659285744-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKU\S-1-5-21-3503408769-2592613405-2659285744-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKU\S-1-5-21-3503408769-2592613405-2659285744-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} SearchScopes: HKU\S-1-5-21-3503408769-2592613405-2659285744-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM&q={searchTerms} BHO-x32: Discovery App -> {ba32987d-db80-4ccb-a8bb-f812b5421c0f} -> C:\Program Files (x86)\Discovery App\Extensions\ba32987d-db80-4ccb-a8bb-f812b5421c0f.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449262300&z=9182f0468b0475cef1d3af8gbzfzet0ocq5o5oft9w&from=cor&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\yahooprotected@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\jr793cve.default\extensions\default_newtabff@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450119420&z=d1b5e43fafda90f4ac932e8g9z9wae3g5gdt5zbg2w&from=wpm07173&uid=ST1000DX001-1NS162_Z4Y98NEMXXXXZ4Y98NEM HKLM-x32\...\Run: [V0700Mon.exe] => C:\Windows\V0700Mon.exe Task: {181E388A-1909-403F-A3C2-397B36A7EB7E} - System32\Tasks\{DC073188-8672-4605-A646-C5B5A96248CF} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.9.0.103&LastError=404 Task: {2BA7F70A-DF2A-4AC1-A5DD-988614A7C260} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: {64FD3666-81B1-4882-A31B-DF067D4B7C98} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-12-06] (Lenovo) Task: {BF49DE5D-EDB1-4037-A18C-7D46FFCA130F} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\ProgramData\FWdMF RemoveDirectory: C:\ProgramData\HWMiniProH RemoveDirectory: C:\Users\Tomasz\AppData\Local\Lenovo RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\Shortcut RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\TSv RemoveDirectory: C:\Users\Tomasz\AppData\Roaming\yoursearching RemoveDirectory: C:\Users\Tomasz\REACHit RemoveDirectory: C:\Windows\System32\Tasks\Lenovo C:\Windows\system32\Drivers\EsgScanner.sys C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Ponadto FRST nie może działać w piaskownicy tego programu. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowany wg wytycznych tu na forum, ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzieliłam post w osobny temat. I brakuje trzeciego obowiązkowego pliku FRST Shortcut. Uzupełnij. EDIT: Log uzupełniony, teraz już oczywiście odpowiadasz w nowym poście. Twój problem to kompletnie inna bajka, nie ma nic wspólnego z tematem do którego się podczepiłeś. Tu jest kupa instalacji adware nabyta w następujące sposoby: KLIK. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {cd63c300-b231-4a93-a479-5a1e96976d74}w64; C:\Windows\System32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys [48784 2015-05-22] (StdLib) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-07-23] (globalUpdate) [brak podpisu cyfrowego] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-07-23] (globalUpdate) [brak podpisu cyfrowego] R2 Update Framed Display; C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe [645344 2015-12-16] () R2 Util Framed Display; C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe [645344 2015-12-16] () S2 qksvc; "C:\Program Files (x86)\Quiknowledge\Service\qksvc.exe" [X] Task: {023BD4ED-4806-41CA-AA99-52C809E07BA4} - \BitGuard -> Brak pliku Task: {0A082D3C-AA3B-4347-BC0A-0138769A5679} - System32\Tasks\{3E4657DC-5519-4B56-A186-838CE1759C82} => pcalua.exe -a C:\Users\User\Desktop\opr\opr_setup.exe -d C:\Users\User\Desktop\opr Task: {0CFC469D-4021-447F-A8C1-805AEDCCE8B9} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-7 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-7.exe [2015-06-29] (Cinema PlusV28.06) Task: {0FA0AE9A-95F7-422C-ABEE-25228A35A850} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {11D26B9F-57B9-4765-906E-8AF496AC2B05} - System32\Tasks\{FFFD19E9-F9B5-4FC2-8A73-9455F17BF8DA} => pcalua.exe -a c:\users\user\appdata\local\lollipop\lollipop.bat Task: {1A16EF89-E822-493F-8CD4-5B4BFAE8B46B} - \BonanzaDealsLiveUpdateTaskMachineCore -> Brak pliku Task: {1D903A07-74D5-4AB3-956D-E3CAD166C470} - System32\Tasks\{8FABE1D3-4B35-4FF9-B45D-7192248A21FC} => pcalua.exe -a c:\users\user\appdata\local\lollipop\lollipop.bat Task: {21A72E76-38B6-4BB4-8CC2-0E799DC34AB0} - \DSite -> Brak pliku Task: {2F193314-1A25-4C63-8AA8-1941DC2C13CA} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-11 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-11.exe [2015-06-29] (Cinema PlusV28.06) Task: {32C267E7-22E8-49B9-8323-0456E62B702E} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-5 => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {56DB4B16-97AC-4200-AF28-F2B972F7F72C} - \BonanzaDealsLiveUpdateTaskMachineUA -> Brak pliku Task: {5D1265E9-678B-4B50-BF1E-C60490EF8C23} - System32\Tasks\Yahoo! Search Updater => C:\Windows\system32\wscript.exe [2009-07-14] (Microsoft Corporation) Task: {6CC5AC04-CE39-4FF7-AE42-9856E1B7C7FF} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-11 => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-11.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {92D5F525-7FB0-4943-BD4B-F727D9143A25} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-23] (globalUpdate) Task: {9880A265-ECA8-4DE2-A7E4-55C22A2C8E94} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-23] (globalUpdate) Task: {A1C0D792-194F-4815-B030-F8195F846E8D} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-6 => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-6.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {A1C7FF68-35C6-466D-8CB3-9DD2ED644020} - System32\Tasks\Xmas Mix => Rundll32.exe "C:\Users\User\AppData\Local\Xmas Mix\Bin\XmasMix.dll",#3 Task: {B8B7A0DD-28A8-4EBC-97FD-AC9478993FC5} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-5_user => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {BCF057A0-B1B0-4E0C-AEDC-B3B9E16566AF} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {C599CCAE-FCBA-497E-890D-C3C85E958940} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5_user => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.exe [2015-06-29] (Cinema PlusV28.06) Task: {C673DF06-EC8C-499F-865A-33EAE2E584EE} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-6 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-6.exe [2015-06-29] (Cinema PlusV28.06) Task: {DA9E16EE-214B-4C94-8191-CCCE816DAD8C} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-7 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-7.exe [2015-06-29] (Cinema PlusV28.06) Task: {DC790705-9D70-4966-88E1-AF33E4D6FA0A} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-10_user => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-10.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {E04D18FD-171C-4537-8B4B-36BF8F4D1E44} - System32\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-7 => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-7.exe [2015-07-23] (Cinema Plus v6V23.07) Task: {E1C0FEF0-82D5-4E06-A4A8-5161C8381BD1} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-6 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-6.exe [2015-06-29] (Cinema PlusV28.06) Task: {E7E8B60C-F786-4AFC-982B-146E8EC029FD} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.exe [2015-06-29] (Cinema PlusV28.06) Task: {EBA96E6D-6625-4829-AD68-C3F4B16963E1} - System32\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-3 => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-3.exe [2015-06-29] (Cinema PlusV28.06) Task: {EDCE4EB0-81DA-4E9C-9D4B-4EACA0CB2930} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: {F6B47B47-7742-4614-8064-F62F0B7E301C} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-6.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-6.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-7.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-1-7.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-10_user.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-10.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-11.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-11.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.exe Task: C:\Windows\Tasks\1c895bea-87f1-49b9-8fef-94dd222ff36f-5_user.job => C:\Program Files (x86)\Cinema Plus v6V23.07\1c895bea-87f1-49b9-8fef-94dd222ff36f-5.exe Task: C:\Windows\Tasks\a2zLyrics-1-chromeinstaller.job => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-chromeinstaller.exȅ/installcrx /agentregpath='a2zLyrics-1' /extensionfilepath C:\Program Files (x86)\a2zLyrics-1\41554.crx' /appid=41554 /srcid='000378' /subid='0' /zdata='0' /bic=A15A3C3F800F44E6BE6D22F4E4816D19IE /verifier=cbc0d0cc84243f71c94998b8010a4d5b /installerversion=1_28_153 /installerfullversion=1.28.153.3 /installationtime=1379156979 /statsdomain=hxxp:/stats.ourstatssrv.com /errorsdomain=hxxp:/errors.ourstatssrv.com Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-6.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-1-7.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-10_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-10.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-11.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-11.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-3.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-3.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-5.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-6.exe Task: C:\Windows\Tasks\c6ba0fdd-3928-4dc2-af71-887e6272d08d-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV28.06\c6ba0fdd-3928-4dc2-af71-887e6272d08d-7.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\PJrCW74v5eI8y3ZcBXEzwht5cP.job => C:\Users\User\AppData\Roaming\PJrCW74v5eI8y3ZcBXEzwht5cP.exe HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\...\Run: [GoogleChromeAutoLaunch_9BAB471B03D368FCB9DADC4CBCF42FCC] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-06-29] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1435571244&z=a250b60ce1a9dd4b4fd1063g4z7c4w9wem0gbo1z9w&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1435571186&z=e667900ec25ae89496a1145gez1c0w9w6m0g4g3b1m&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1435571244&z=a250b60ce1a9dd4b4fd1063g4z7c4w9wem0gbo1z9w&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435571186&z=e667900ec25ae89496a1145gez1c0w9w6m0g4g3b1m&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchsimple-a.akamaihd.net/?affID=mt-is HKU\S-1-5-21-1760844222-3365795311-1753932860-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> OldSearch URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1435571244&z=a250b60ce1a9dd4b4fd1063g4z7c4w9wem0gbo1z9w&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {395CF53C-16C1-42A2-BF53-ABBE14D1B75F} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {898F2057-F9E9-4BD7-890F-9F081FAF4F5B} URL = hxxp://searchsimple-a.akamaihd.net/?affID=mt-is&q={searchTerms}&r=587 SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXHD103SI_S1VSJ90SB57250&ts=1435571252&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1760844222-3365795311-1753932860-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> Brak pliku BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\globalUpdate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Neverwinter Nights 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\Users\User\AppData\Local\*.tmp C:\Users\User\AppData\Local\GG C:\Users\User\AppData\Local\globalUpdate C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{A5651787-569E-4F86-BE51-B6E8BF1C1F69} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{6842C4B4-0C22-4FF5-96C5-31D029B83D61} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{50D9E01D-BC3D-488B-B786-03D726A912B1} C:\Users\User\AppData\Roaming\PJrCW74v5eI8y3ZcBXEzwht5cP C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\User\Desktop\Don't Starve v1.88173.lnk C:\Windows\System32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys C:\Windows\SysWOW64\*.tmp C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 CMD: netsh advfirewall reset CMD: type "C:\Windows\System32\Tasks\Yahoo! Search Updater" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware a2zLyrics-1, Cinema Plus v6V23.07, CinemaPlus-3.2cV28.06, Forum Terminal, Framed Display, Free Up Expand, GamesDesktop 008.005010016, GamesDesktop 008.005010017, Quiknowledge, Remote Desktop Access (VuuPC), Setup, SmartWeb, Xmas Mix, Yahoo! Search oraz zbędnik Samsunga MyFreeCodec i przestarzałą dziurawą przeglądarkę Safari. Jeśli coś będzie niewidoczne lub nie będzie się dało odinstalować, nie szkodzi, kontynuuj dalej. 3. Wyczyść Operę (najnowszą, a nie starą 12.17) z adware: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Framed Display. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Preferuję logi jako załączniki forum a nie przeklejane na wklej.org, tylko oryginalne pliki mają oryginalne kodowanie.

Problem pozostałych kont na razie odsuwam, muszę to przemyśleć, na pewno chodzi o odebrany dostęp gdzieś. Czy podczas prób tworzenia katalogów oraz wchodzenia przeglądarkę (mówimy oczywiście o IE, bo aktualnie brak innych) występuje ten sam błąd 0x80070003 co podany poprzednio? Jeśli chodzi o logi z Arka, to nie widać już jawnych oznak infekcji "DNS Unlocker". Skoro nadal jest problem tych reklam, to mocno mnie zastanawia Steam i jego świeże autoryzacje w Zaporze: ==================== Reguły Zapory systemu Windows (filtrowane) =============== (Załączenie wejścia w fixlist spowoduje jego usunięcie z rejestru. Powiązany plik nie zostanie przeniesiony, o ile nie zostanie załączony z osobna.) FirewallRules: [{524BD553-8EB7-4B42-AB57-78DCD66C42B7}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe FirewallRules: [{BF78F688-0ECD-4A38-8345-00F926B569AF}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe FirewallRules: [{8F374DE2-B3B8-421C-B344-DE45040BAD29}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe FirewallRules: [{D1EBCC08-28B2-4812-821B-05D385E4C967}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Otóż na forum był problem ze Steam w dokładnie tym kontekście: KLIK. W związku z tym proponuję następujące kroki: 1. Odinstaluj Steam. Po deinstalacji dokasuj przez SHIFT+DEL (omija Kosz) następujące foldery, o ile nadal będą: C:\Program Files (x86)\Steam C:\Users\AREK\AppData\Roaming\Steam 2. Ponów czyszczenie bufora DNS i Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Usuń certyfikat dodany przez "DNS Unlocker". Start > w polu szukania wpisz certmgr.msc > z prawokliku Uruchom jako Administrator > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > wyszukaj cloudguard.me lub www.cloudguard.me i usuń. 4. Jeśli problem reklam "DNS Unlocker" ustanie, zainstaluj wybraną przeglądarkę i zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Po pierwsze, by widzieć te katalogi, musisz mieć włączone pokazywanie ukrytych folderów w Opcjach folderów: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. Po drugie, tych folderów tam może nie być wcale, jeśli folder "user" został zdewastowany. Tu właśnie nie jest pewne do jakiego stopnia jest uszkodzony ten "user", tam może nie być nic do kopiowania... Dla świętego spokoju możesz mi podać specjalny wyciąg całego folderu "user", to się dowiem na 100% jaka jest zawartość. Otwórz Notatnik i wklej w nim: Folder: C:\Users\user Jeśli jednak konto już usunąłeś i ten folder zniknął, to zamiennie zrób skrypt na przekopiowanej na Pulpit Ja zawartości: Folder: C:\Users\Ja\Desktop\user Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Jeśli "user" jest mało uszkodzony, log będzie monstrualny i nie wejdzie w załącznik. W takim przypadku po prostu shostuj go gdzieś i podaj link do niego.

1. AdwCleaner czepia się programu DriverAgent by eSupport.com. Odinstaluj go w poprawny sposób. Następnie uruchom AdwCleaner ponownie, wybierz po kolei opcje Skanuj + Usuń, pokaż log z czyszczenia. 2. W związku z tym, iż poprzednio były logi wykazujące brak akcji w Firefox, poproszę o dowód, że to rzeczywiście już wykonane. Tzn. zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition.