picasso

Brakuje jeszcze logów FRST (FRST.txt + Addition.txt) z ARKA. Problem z DNS nadal widoczny. Zanim zrobisz logi z ARKA, powtórz akcję którą podałam, ale zamiast ustawiać na Automatyczne, uwstaw na sztywno adresy Google 8.8.8.8 - 8.8.4.4 i zresetuj kompa. Po tym logi z ARKA wykonaj. I będziemy doczyszczać pozpostałe konta po kolei.

Nie wiem skąd te problemy, opcja na pewno jest w Firefox powyżej wersji 13+ i działa niezależnie od potencjalnej aktualizacji. W starszych wersjach Firefox mogła występować pod nazwą "Zresetuj program Firefox", tylko nie pamiętam od której wersji nastąpiła zmiana nazwy. Dlatego pewnie ten link dynamiczny w pomocy Firefox nie działał i kierowało Cię do "aktualizacji" (czyli do wersji Firefox posiadającej "Odśwież" a nie "Resetuj", pomimo że to dokładnie to samo działanie). Resetu nie miało być. Okazało się, że foldery Google i Firefox prawdopodobnie były w jakiś sposób "aktywne", w przeciwnym wypadku FRST nie przesuwałby ich przy restarcie. Ostatnia poprawka: Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\eSupport.com DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\V9 DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\delta-homes.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.delta-homes.com DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{88459867-DD98-45C8-B96A-B12B77CB698B} DeleteKey: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pl/narzedzia-usuwania/7367-wirus-omiga-plus DeleteKey: HKLM\SOFTWARE\Wow6432Node\delta-homesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\PicexaSvc DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupTab DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWindowsMangerProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\PicexaViewer.ico DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{88459867-DD98-45C8-B96A-B12B77CB698B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{1CA43A3D-3E65-435F-A71D-73A1DB05E389} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\XTab RemoveDirectory: C:\ProgramData\IHProtectUpDate RemoveDirectory: C:\Users\Ola\SupTab RemoveDirectory: C:\Windows\system32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Teraz wszystko poszło. Drobne poprawki, oczywiście przy nieaktywnym COMODO: 1. Usunięcie poprzednich profilów Google Chrome (obecnie jest już trzeci) z dysku. Do Notatnika wklej: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Profile 1 RemoveDirectory: C:\Users\Mariusz\AppData\Local\Google\Chrome\User Data\Profile 2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

SpyHunter to skaner naciągacz - z daleka od tego świństwa. Widzę następujące rzeczy: szkodliwy wpis "svchost" w starcie oraz zmodyfikowane serwery DNS routera. Poniższe IP nie jest polskie: KLIK. IP pod którym Cię widzę na forum wskazuje, że masz internet z Netia, więc widoczny tu IP w routerze kompletnie z innej bajki. Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Wprawdzie niby bieżące adresy DNS ustawione spod Windows biorące precedens nad w/w są Googlowskie, ale nie zmienia to faktu że router jest zainfekowany. Infekcji routera nie da się usunąć żadnymi narzędziami / skanerami, musi być rekonfiguraja bezpośrednia routera. Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS na adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /s HKU\S-1-5-21-1508335669-1683227341-126213794-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-1508335669-1683227341-126213794-1000\...\Run: [svchost.exe] => C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe [56472 2014-03-20] (Microsoft Corporation) BootExecute: autocheck autochk * sh4native Sh4Removalsdnclean64.exe S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1508335669-1683227341-126213794-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1508335669-1683227341-126213794-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Temp C:\ProgramData\*.* C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Waterfox.lnk C:\Users\Maciek\Desktop\SpyHunter4.lnk C:\Users\Maciek\Desktop\spyhunterS4.exe C:\Users\Maciek\Downloads\S_yH_nter 4 C:\Users\Maciek\Downloads\S_yH_nter 4.rar C:\Users\Maciek\Downloads\SpyHunter 4.17.6.4336 C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\sh4native.exe File: C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa oraz jaki model routera konkretnie posiadasz.

Co tu widzę: - Przede wszystkim uszkodzona baza Usług kryptograficznych (catroot2) - wszystkie usługi i sterowniki Microsoftu od góry do dołu mają oznaczenie Brak podpisu cyfrowego. - Spowolnienie: być może powyższe ma coś do rzeczy, a być może przyczyna inna. Np. może to być problem starych specyfikacji komputera, zdegradowanego transferu dysku, interferencji uruchomionych procesów (dobry kandydat to AVG). Działania wstępne do przeprowadzenia: 1. Sprawdź transfer dysku czy nie obniżył się z DMA do PIO. Instrukcje są w opisie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Nie ma znaczenia, że piszę o tym w kontekście GMER, ta usterka ma rozmaite przyczyny. 2. Pod kątem usterki bazy Usług kryptograficznych uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 3. Przez Dodaj/Usuń programy odinstaluj stare niebezpieczne wersje oraz zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 11 Plugin, Adobe Flash Player ActiveX, Adobe Reader 9, AVG Web TuneUp. 4. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Po wszystkim zrób nowy log FRST z opcji Skanuj (Scan) z Addition. Wypowiedz się czy są jakieś zmiany.

Fix FRST wykonany. Na zakończenie zastosuj DelFix. I zwracam uwagę, że aktualizacja Windows 7 (lub 8) do Windows 10 wyłączyła Przywracanie systemu ze względu na niski próg miejsca na dysku (bodajże wymaganiem jest wolumin 250GB). Miej to na uwadze, i mimo bieżącej niskiej ilości wolnego miejsca sugeruję funkcję włączyć dla partycji C, by mieć wyjście awaryjne na wypadek jakiejś katastrofy. ==================== Punkty Przywracania systemu ========================= UWAGA: Przywracanie systemu jest wyłączone ==================== Dyski ================================ Drive c: () (Fixed) (Total:117.19 GB) (Free:24.58 GB) NTFS Drive e: () (Fixed) (Total:106.04 GB) (Free:61.53 GB) NTFS

Tym razem komenda resetu Zapory wykonała się poprawnie, więc ten problem z głowy. Została jedna sprawa z tymi uszkodzonymi plikami których skam SFC nie naprawił, część tych wyników raczej nie ma wielkiego znaczenia. Ta akcja jest bardziej czasochłonna, wymaga ode mnie skorzystania z wirtualnej maszyny z systemem Vista i wyłuskanie identycznych kopii plików do zamiany ręcznej. Nie jestem w stanie się tym zająć teraz. Musisz poczekać.

Nie za bardzo rozumiem do czego zmierzasz z aktualizacją Firefox w kontekście opcji Odśwież - w raporcie był Mozilla Firefox 34.0.5 obsługujący tę funkcję (Odśwież występuje od Firefox 13+). A deinstalacja Firefox nie usuwa profilu z dysku, na dysku on nadal jest z kupą adware w środku - gdybyś w przyszłości instalował Firefox, to ten zaśmiecony adware profil zostałby załadowany. Trzeba doczyszczać wszystko ręcznie. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Ola\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Ola\AppData\Local\Google RemoveDirectory: C:\Users\Ola\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\Ola\AppData\Roaming\Mozilla\Firefox CMD: del /q C:\Windows\SysWOW64\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Istotnie, Macromedia Shockwave Player nie jest już widoczny. Wszystko zrobione. Teraz już tylko kosmetyczne poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {29363672-3D1F-476D-82AF-3CF4F8486E05} - System32\Tasks\{EE880506-379A-4D17-9F3D-30426A2B4180} => C:\Users\Tomek\Downloads\Setup.exe Task: {3D3DDD48-AA4A-4D84-8D41-3247E3C1915C} - System32\Tasks\{199E689F-4615-4936-B611-EB8DE21E7272} => C:\Users\Tomek\Downloads\Setup.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\AppData\Roaming\Sun Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kolejność działań jest ścisła (każde działanie ma określone konsekwencje), nie wolno jej przestawiać. Jeśli podaję czyszczenie jako pierwsze, a raporty jako ostatnie, to jest oczywiste, że raporty mają być potwierdzeniem wykonanych wcześniej zmian. Po co mi raporty sprzed zmian... Kolejne działania do wykonania: 1. Uruchom AdwCleaner ponownie, wybierz zestaw opcji Skanuj + Usuń. Pokaż wynikowy log z czyszczenia. 2. W związku z tym, że przeglądarki były czyszczone później, poproszę o nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

michal1999r, podałam powyżej by ponowić łączenie konta z powiązanym katalogiem (czyli Assign).

Wszystko zrobione. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kierowałam przecież wcześniej do opisu z obrazkami. Teraz podałam wyraźnie zestaw opcji: Skanuj (Scan) + Usuń (Clean), a nie Odinstaluj (Uninstall).

Reinstalacja Firefox była zbędna, problemem jest modyfikacja m.in skrótów LNK. Owszem, instalacja je przebija, ale jest to za duża wagowo akcja w stosunku do błahości modyfikacji. A problemy w Firefox i IE wystąpiły, bo coś zablokowało Fix FRST (przypuszczalnie COMODO). Prawie wszystko co pozornie było "usuwane" via FRST jest nadal w najnowszym logu. 1. Wyłącz COMODO. FRST nie może działać w piaskownicy tego programu. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\cWdMc\WdMan.exe [333312 2015-12-14] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} HKU\S-1-5-21-2915783206-49812008-3396176740-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N&q={searchTerms} SearchScopes: HKU\S-1-5-21-2915783206-49812008-3396176740-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = IE Session Restore: HKU\S-1-5-21-2915783206-49812008-3396176740-1001 -> [funkcja włączona] Edge Session Restore: HKU\S-1-5-21-2915783206-49812008-3396176740-1001 -> [funkcja włączona] CHR Session Restore: Profile 1 -> [funkcja włączona] FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\ag4a6ebu.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\ag4a6ebu.default\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\ag4a6ebu.default\extensions\yahooprotected@gmail.com => nie znaleziono CHR HKU\S-1-5-21-2915783206-49812008-3396176740-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450086581&z=794b06610d81dd46286c89egez5w3ede4b1q1wdbbb&from=wpm07173&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG309837N DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\ProgramData\cWdMc RemoveDirectory: C:\ProgramData\QWdMQ RemoveDirectory: C:\ProgramData\tWMiniProt RemoveDirectory: C:\Users\Mariusz\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Mariusz\AppData\Roaming\TSv C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Windows\SysWOW64\data.bin C:\Windows\SysWOW64\pl.html EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 2. W Google Chrome: menu Ustawienia > Ustawienia > Osoby > usuń poprzedni nieużywany profil. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Niestety autor FileZilla się sprzedał i nie reaguje na żadne prośby użytkowników, by rozwiązać partnerstwo ze sponsorami... W przyklejonym kieruję użytkowników na czysty bezpośredni instalator FileZilla, a nie wrapper SourceFore: KLIK. Obecnie w systemie nie widać już żadnych aktywnych elementów adware. A ten odczyt "rootkit" w GMER to fałszywy alarm na tymczasowym sterowniku MBAM: U0 ncxingeu; C:\Windows\System32\drivers\tdojck.sys [79064 2015-12-15] (Malwarebytes) Do przeprowadzenia tylko kosmetyczne działania pod kątem wpisów pustych (w tym odpadków po aktualizacji z Windows 7) oraz czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku] Task: {01FBEA95-2571-459B-9894-5321BC470D50} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {54F629C1-EA74-48A3-9400-546A1CB0BDE9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {6C23790D-0051-4053-9C1B-CDCFC67D7B64} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {809A3E60-D8F5-4691-B1F4-5CA9E325E718} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {837EC922-8FF6-45F3-B53D-818415251E76} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {973497EB-722F-4748-B34E-6BCAD8999B69} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {AA5A57A4-A6E8-49AA-A39B-4559697AD9AE} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {B0375620-F2D0-422B-A768-772C24F30700} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {B0686C4F-96DB-412A-A4E8-3C56942BB6A4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {CA3FF020-A4DB-4144-A4CE-D8108947F731} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {CD61F593-A25C-4ED5-AB5E-F1744167439C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {D44DA883-9391-4387-9CC9-E035841C9452} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {D6C73850-5E20-43E1-A685-3312CBCE9AA0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA U0 ncxingeu; C:\Windows\System32\drivers\tdojck.sys [79064 2015-12-15] (Malwarebytes) DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Magiczne Bloczki 1.0 C:\Users\Sokep\AppData\Local\ACCCx3_4_2_187.zip.aamdownload C:\Users\Sokep\AppData\Local\ACCCx3_4_2_187.zip.aamdownload.aamd C:\Users\Sokep\Desktop\Nowy folder\Nowy folder (3)\DSC00103 — skrót.lnk C:\Users\Sokep\Desktop\wxDev-C++.lnk C:\Users\Sokep\Downloads\cbmfx.exe C:\Windows\System32\drivers\tdojck.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. Nowe skany FRST nie są mi potrzebne.

Czy na pewno problem nadal występuje? W raportach nie ma żadnych śladów tej infekcji "DNS Unlocker" (brak modyfikacji serwerów DNS, brak zadań w Harmonogramie oraz innych elementów). I poproszę o dostarczenie logów z już używanych narzędzi, czyli raporty z katalogu C:\AdwCleaner oraz plik C:\ComboFix.txt.

Ten typ adware powinien mieć jedno z tych źródeł: KLIK. Operacje do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj wersję naruszającą bezpieczeństwo: Java™ SE Runtime Environment 6. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S2 tor; "C:\Program Files\Tor\tor.exe" --nt-service "-ControlPort" "9051" [X] S4 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [X] R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [26984 2012-11-05] (AVG Technologies) S3 catchme; \??\C:\DOCUME~1\user\USTAWI~1\Temp\catchme.sys [X] S3 cpuz134; \??\C:\DOCUME~1\user\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X] S3 cpuz136; \??\C:\DOCUME~1\user\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449663721&z=d3b4fc4d8d0fadec398f08bg7zdz7t9q2q5c2mdgfz&from=ient07021&uid=ST1000DM003-1CH162_Z1D6YW6BXXXXZ1D6YW6B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKU\S-1-5-21-1757981266-562591055-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1757981266-562591055-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://newtab.certified-toolbar.com/nie?si=41460&tid=2937&new=true" HKU\S-1-5-21-1757981266-562591055-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5b03bf19-4cf9-43b8-93d4-8e2cca96067b}_is1 DeleteKey: HKLM\SOFTWARE\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\2WMiniPro2 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\5WdM5 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\iWdMi RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Qoobox RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google RemoveDirectory: C:\WINDOWS\system32\drivers\avgtpx86.sys C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Apetito.lnk C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Wyszukiwarka.lnk C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zainstaluj IE8, bo stary IE6 po prostu nie może zostać: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystkie przeglądarki są poszkodowane, nie tylko Opera, a w tle chodzą procesy odnawiające modyfikację. I jest więcej obiektów adware, w tym inwazyjne sterowniki. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: - Adware: WindowsMangerProtect20.0.0.502, WinZipper - Stare wersje i zbędniki: Akamai NetSession Interface, Java 8 Update 31, Spybot - Search & Destroy 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {fef7f75c-f985-4250-96f9-8183cd04238b}Gw64; C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64.sys [44696 2014-09-15] (StdLib) R1 {fef7f75c-f985-4250-96f9-8183cd04238b}w64; C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}w64.sys [44696 2014-09-16] (StdLib) R2 IhPul; C:\Users\Ola\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448348101&z=523b69bf34d70293944c0e1g0zfzbbcc3zbb9gegee&from=ient07031&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 HKU\S-1-5-21-1119756383-1426237223-1916157764-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1418204911&from=wpm12103&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-19 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-20 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://al.redisearch.com/web?type=ds&ts=1433243477&from=zzgbkk123&uid=kingstonxsv300s37a120g_50026b72410db662&z=b8cc37a4e0aba318e44d336g5zec4cco9z2caz5b9m&bst=1&bsv=11019(KB3049563)&q={searchTerms} SearchScopes: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku BHO-x32: Middle Rush -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> C:\Program Files (x86)\Middle Rush\Extensions\d00ab4cc-662c-40b6-a85f-d53086f4bb16.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\detgdp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\arthurj8283@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\ntn0gl8d.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449816669&z=f062091e8a0e939293eba04g0z0z5tdb8g6qcq4q7t&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-22] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450162454&z=e841f9fab298aba217473aeg1zbwce4gfq9o7zfqco&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B72410DB662 Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe CustomCLSID: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD Architecture 2010\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1119756383-1426237223-1916157764-1001_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD Architecture 2010\acad.exe => Brak pliku Task: {2ECAA6AA-0C20-4928-81E0-78DBEEB99F1A} - System32\Tasks\{2CB8BBA1-D0D7-4BF9-A7BA-AC31584F796B} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe" Task: {80EB4C99-1C6A-4534-852D-8B9515F1891B} - \AppCloudUpdater -> Brak pliku Task: {BC0744ED-5867-47C1-BB77-3289A93BC70D} - System32\Tasks\{CEB78C73-6D91-4B37-BF78-8A7181E8E962} => pcalua.exe -a D:\AC14-POL32\AC14-POL32.exe -d D:\AC14-POL32 Task: {F62E284D-4228-4FF0-A646-4C972C15A6BF} - System32\Tasks\{E584B8FC-FCCC-4FD8-855D-28AFA126A404} => pcalua.exe -a "C:\Program Files\AutoCAD Architecture 2010\acad.exe" -d "C:\Program Files\AutoCAD Architecture 2010\UserDataCache\" -c /ld "C:\Program Files\AutoCAD Architecture 2010\AecBase.dbx" /p "AutoCAD Architecture (jednostki metryczne)" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\ProgramData\9WMiniPro9 RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Ola\AppData\Roaming\TSv RemoveDirectory: C:\Users\Ola\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Ola\Downloads\sh-remover.exe C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Reader XI.lnk C:\Users\Ola\Desktop\PROGRAMY\Adobe Reader XI.lnk C:\Users\Ola\Desktop\PROGRAMY\AppSafe.lnk C:\Users\Ola\Desktop\PROGRAMY\Picexa.lnk C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64.sys C:\Windows\System32\drivers\{fef7f75c-f985-4250-96f9-8183cd04238b}w64.sys C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl4.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Middle Rush 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Wprawdzie skan SFC wykrył pewne uszkodzone pliki, niektóre naprawił, niektóre nie (część może nie mieć znaczenia), ale nie ma w ogóle rekordu o który mi chodziło. Na razie powtórz poprzednie zadanie: Ręcznie zresetuj komputer. Następnie otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files\Bonjour CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To jest prawdopodobnie problem sterowników karty hybrydowej. W Twoim raporcie FRST są następujące "sparowane" pozycje: ATI Catalyst Install Manager (HKLM\...\{9A11B072-9CE7-ABB9-2F65-EC971A7B839D}) (Version: 3.0.816.0 - ATI Technologies, Inc.) Intel® Display Audio Driver (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3074 - Intel Corporation) Do porównania ten temat: KLIK. Z raportu wynika że Twój komputer jest modelem Hewlett-Packard. Sprawdź na w/w stronie Microsoftu sekcję HP systems czy jest pasujący do Twojego model i co jest na ten temat napisane. Poszukaj też bezpośrednio na stronie producenta HP aktualizacji sterowników do karty hybrydowej.

Bez zmian. Nadal widzę w Addition: Fotogalerija Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie foto Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Junk Mail filter update (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Luxor 3 (HKLM-x32\...\Luxor 3) (Version: - Oberon Media Inc.) Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Wszystkie wpisy z wyjątkiem ostatniego są ukryte - ten ostatni Windows Live Essentials powinien być widoczny normalnie w Programy i funkcje. A nawet jeśli nie, to i tak wszystkie pozycje powinno widzieć narzędzie Microsoftu. Pokaż mi zrzuty ekranu co sprawdzasz narędziem. PS. I przeczytaj PM.

kerpal, proszę bez idiotycznych "pytajników" podbijających temat. Usuwam ten post. Temat przenoszę, na razie do działu Software, bo nie wiem gdzie go dać. To nie jest problem infekcji. A z raportów nic kompletnie nie wynika pod kątem zgłoszonych problemów. Pytaniem jest czy problem tyczy tylko i wyłącznie Chrome, czy to samo występuje rówież na systemowym Internet Explorer. Jedyne co tu mi się rzuca w oczy, to poniższy błąd w Dzienniku zdarzeń. Tylko że usługi HiPatchService nie widać w głównym raporcie FRST (zakładając że nie jest filtrowana), więc błąd może być nieaktuany. Dziennik System: ============= Error: (12/10/2015 01:11:17 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Hi-Rez Studios Authenticate and Update Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

- Proponowany darmowy skaner Malwarebytes Anti-Malware. Wersja darmowa jest pozbawiona rezydenta. - Bez wątpienia Firefox. IE8 to strasznie przestarzała przeglądarka, nie obsługująca już najnowocześniejszych specyfikacji (np. strona mojego forum w IE8 przedstawia wiele do życzenia, rendering nieprawidłowy), nie mająca żadnych widoków na aktualizację i całkowicie pozbawiona wsparcia. Niestety to dla XP jedyna dostępna wersja. Najnowszy IE11 jest tylko dla Windows 7 i nowszych systemów. Oczywiście, ale w nowym temacie. Nie obiecuję szybkiej odpowiedzi. W dziale jest gorąco, jestem jedyną osobą do pomocy i przez ostatnie dni padam tyle jest tematów z "yoursites123". Nie mam już sił.

Tzn. o których pozostałościach mowa? Przedstaw co masz na myśli, bo w raporcie FRST nic już nie widać od Aviry. Ostatni Fix FRST wykonany. Teraz jeszcze: 1. Skoryguj jeden z wyleczonych skrótów, by odpowiadał pierwotnej funkcji przed infekcją. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox Prawoklik na zlokalizowany tam skrót Mozilla Firefox (Safe Mode) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Mozilla Firefox\firefox.exe" dopisz spację i -safe-mode 2. Uruchom Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.