picasso

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat infekcji rozwiązany. Zamykam. A jeśli chodzi o problem drukarki, to załóż nowy temat w dziale bardziej do tego dopasowanym, tzn. Windows 8 lub Hardware.

Jedyne co widać w raporcie głównym FRST.txt, to ten skrót na Pulpicie: 2015-12-13 18:50 - 2015-12-13 18:50 - 00001742 _____ C:\Users\Szymek\Desktop\FreeKeyl0gger.lnk Ale ten skrót nie jest z kolei widziany w pliku Shortcut.txt, więc może usunąłeś go w trakcie trwania skanu FRST. Nie, prędzej niedozwolona ingerencja w pamięci przeprowadzona przez sterownik GMER. PS. Do wykonania tylko drobne akcje: 1. W Google Chrome są jakieś śmieciarskie (prawdopodobnie uszkodzone) rozszerzenia. Ustawienia > karta Rozszerzenia > odinstaluj to wszystko co poniżej: CHR Extension: (http://darkwarez.pl/forum/) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bigefdfikodhdfbgmfnlibaolpjijkpo [2015-08-12] CHR Extension: (http://olx.pl/) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ighefdefallcdhffphgilnemgphpafpk [2015-08-12] CHR Extension: (http://allegro.pl/) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgdhjjnhpikfdmmhbgmgcnmadfoioafc [2015-08-12] CHR Extension: (http://www.dobreprogramy.pl/) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\lfbbgbcegmmhcjbpaejejanbcjmhheep [2015-08-15] CHR Extension: (http://www.elektroda.pl/rtvforum/forum220.htm) - C:\Users\Szymek\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkkfkhkjjgglgpgcbjhlgmpppmongald [2015-09-09] 2. Otwórz Notatnik i wklej: CloseProcesses: HKLM-x32\...\Run: [] => [X] GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia Task: {D9110F40-E99B-4D4B-8BA7-8582E2185E61} - System32\Tasks\{3FFF7C70-E574-4169-9067-23333B2434DD} => launchwinapp.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.8.0.102&LastError=12002 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Trzeci plik się nie utworzył, bo nie skonfigurowałeś FRST, by go tworzył. Wracaj do instrukcji: KLIK.

Zatwierdź ten komunikat i mimo wszystko sprawdź czy da się połączyć user z katalogiem C:\Users\user, pomimo iż tak już widać w oknie.

Ten odczyt nic nie oznacza ciekawego, nie jest to infekcja i nic się nie dzieje. Avast próbował skanować strumienie ms-drive podpięte na katalogu OneDrive. To są poprawne strumienie zawsze występujące na tym katalogu. Nie widać ich w FRST Addition, bo całkiem niedawno zgłosiłam je do filtrowania (obecnie ukryte na białej liście). To częsty błąd GMER na nowszych systemach. Nie ma się czym przejmować. W raportach brak oznak czynnej infekcji. Tylko drobne odpadki adware (polityki Google Chrome + szczątki fałszywej przeglądarki BoBrowser i adware SwiftSearch) oraz poboczne działania do wykonania. Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędniki: Akamai NetSession Interface, WebStorage. Ten WebStorage integrowany na komputerach ASUS jest znany z tworzenia błędów explorer.exe. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Beschränkung - Chrome CHR HKLM\SOFTWARE\Policies\Google: Beschränkung HKU\S-1-5-21-2451408768-821268778-953564908-1001\...\Run: [CrashService] => "C:\Users\Czarek\AppData\Local\BoBrowser\Application\crash_service.exe" --max-reports=50 --no-window Task: {31765303-96E4-4528-8178-F85FE4FA2264} - System32\Tasks\AdobeAAMUpdater-1.0-MicrosoftAccount-czarkowski14@hotmail.com => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe Task: {41CE8123-4A72-49D6-B13D-F32CCFD915F0} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Keine Datei Task: {618B8511-47CB-4E5D-9AE1-098D1B69E59B} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Keine Datei Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Keine Datei Task: {B36F2439-1BF7-4861-9830-0C9CA82A04FD} - \crash_service -> Keine Datei Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Keine Datei Task: {CD79F7F0-36BA-47B4-A999-ED92DABF0B4E} - \Run_Bobby_Browser -> Keine Datei HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" U0 msahci; system32\drivers\msahci.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleChromeAutoLaunch_9C96C5D082A97E1EA21A795A67BBB42E /f C:\ProgramData\TEMP C:\ProgramData\TweakBit C:\Users\Czarek\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Suchlauf (Scan), log powstanie w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Untersuchen (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt oraz log AdwCleaner.

Skoro oporne pliki Windows Defender pomyślnie podstawione, to teraz ponów skan SFC i sprawdź czy się ukończy, poprzednio doszedł tylko do 79%.

SpyHunter to skaner-naciągacz z czarnej listy, reklamowany mocno w fałszowanych "opisach usuwania infekcji", tylko po to by go zainstalować i płacić. Na dysku widać pliki "Asystenta pobierania" portalu dobreprogramy.pl. Więcej na ten temat: KLIK. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe Shockwave Player, J2SE Runtime Environment 5.0 Update 5, Macromedia Shockwave Player. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649921&z=053ca32e829ba658842a54dg7zfzft6q5z2t0tfg9t&from=ient07021&uid=WDCXWD3200BEVT-35ZCT0_WD-WXE908S6673066730 HKU\S-1-5-21-2741921912-2865077762-2063661297-1000\...\Run: [] => [X] R1 {b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64; C:\Windows\System32\drivers\{b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64.sys [48784 2015-11-25] (StdLib) S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X] Task: {1E249AE6-5B9E-4984-9C2D-01318825894D} - System32\Tasks\{ABA0C5BA-9C98-485D-BDE7-240A7C2D83BA} => pcalua.exe -a "C:\Users\Tomek\Desktop\usun bez pytania\Adobe Flash Player\Adobe Flash Player\install_flash_player.exe" -d "C:\Users\Tomek\Desktop\usun bez pytania\Adobe Flash Player\Adobe Flash Player" Task: {6535420B-54A5-4CB5-B4E8-DF85CC29B11F} - System32\Tasks\{9E1D8059-E61B-4F92-BE7F-A34136722E99} => pcalua.exe -a C:\Users\Tomek\Downloads\Setup.exe -d C:\Users\Tomek\Downloads Task: {7C75324C-21FE-4BEC-847A-C4F2B5E48D28} - System32\Tasks\{78C60D2A-2540-49AF-A903-993E8D3F938E} => pcalua.exe -a "E:\instalki\ACDSee Photo Manager 10.0\ACDSee Photo Manager 10.0\ACDSee 10.0.exe" -d "E:\instalki\ACDSee Photo Manager 10.0\ACDSee Photo Manager 10.0" Task: {8E9C957B-BE90-47A9-8BFF-674932A98D73} - System32\Tasks\{70051BA3-011F-47E2-8909-984491783119} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Ontozap\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\Ontozap\uninstall.dat" -a uninstallme 599B52AA-40A4-496C-B1C1-09CCEA3B6E41 DeviceId=e61dcdb7-a9d4-8264-b533-43569c2ebb76 BarcodeId=50081003 ChannelId=3 DistributerName=APSFIMonetizer Task: {9F2122A7-FD75-42BE-B1D3-B6893A741B7A} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {ACA3961C-D4D2-4C7A-83D5-BEE7A6038D74} - System32\Tasks\{FB2D0967-6E6A-400C-8CB8-D98C1A9E9330} => C:\Users\Tomek\Downloads\Setup.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\360AP RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\ProgramData\1WMiniPro1 RemoveDirectory: C:\ProgramData\6WdM6 RemoveDirectory: C:\ProgramData\aWMiniProa RemoveDirectory: C:\ProgramData\UWdMU RemoveDirectory: C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{357E00CB-F87E-4C83-9865-644D6DA8ADFB} RemoveDirectory: C:\Users\Tomek\AppData\Roaming\eCyber RemoveDirectory: C:\Users\Tomek\Downloads\SpyHunter 4.12.13.4202 RemoveDirectory: C:\sh4ldr RemoveDirectory: C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\shldr C:\shldr.mbr C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infix PDF Editor 4\License.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\LCode.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\Polski VAG 2.5.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\Polski VAG 4.9.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Tomek\auto\VCDS-PL 10.6.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\rok szkolny 2011-2012\zebranie.docx.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\przedszkole- karty pracy obrazki\zima\zimowo\Gdańsk herb.jpg — skrót.lnk C:\Users\Tomek\Desktop\stary dysk - pulpit\Natalia\przedszkole- karty pracy obrazki\dzień rodziny\Total Commander.lnk C:\Users\Tomek\Downloads\*-dp*.exe C:\Users\Tomek\Downloads\SpyHunter-Installer.exe C:\Users\Tomek\Downloads\SpyHunter 4.12.13.4202.rar C:\Windows\System32\Drivers\{b7cdd446-d7a3-4f7e-97e8-ada05184647f}Gw64.sys C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\SpyHunter4Startup EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wspominasz o Operze, a tu ani śladu po niej. Proszę zacząć od dostarczenia poprawnych logów, bo tu podane nie wyglądają na takie, pochodzą z różnych komputerów: FRST: Załadowane profile: kubapapryka (Dostępne profile: UpdatusUser & kubapapryka) Platform: Windows 8.1 (X64) Język: Polski (Polska) Addition + Shortcut: Uruchomiony przez Krzysiek (2015-12-11 20:00:43) Windows 7 Home Premium Service Pack 1 (X64) (2013-02-10 23:09:10)

Ze skanem GMER niestety tak już jest, że nie zawsze się uda. Jego sterownik może wykonać "nielegalną operację" w pamięci lub wejść w konflikt z innymi sterownikami. W podanych raportach widać instalacje adware (yoursites123.com, isearch.omiga-plus.com i wiele innych kwiatków). Na dysku widać też, że pobierałeś z portali ich "downloadery" a nie poprawne instalatory. Więcej na ten temat: KLIK. Poza tym, jest tu uszkodzony któryś profil użytkownika, Twój lub UpdatusUser aktualizatora nVidia: Error: (12/14/2015 09:37:54 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Akcje do przeprowadzenia: 1. Odinstaluj: Adobe AIR (strasznie stary, luki!), Download Accelerator Plus (DAP) (mierna reputacja, konotacje z instalacjami adware), HP Deskjet Ink Adv 2060 K110 Badanie ulepszeń produktu (zbędnik), SpyHunter (skaner-naciągacz z czarnej listy!), Surfing Protection (odpadek po deinstalacji Advanced SystemCare IOBit), Trojan Killer (zbędnik), Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (obie instalacje to odpadki po AVG), WinZipper (adware). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: (TFuns LIMITED) C:\ProgramData\5WdM5\WdMan.exe R2 WdMan; C:\ProgramData\5WdM5\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona.lnk -> D:\Program Files (x86)\GTX Box Team\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona\Launcher.exe (CD Projekt RED) -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Dishonored - Game of the Year Edition\Play Dishonored - Game of the Year Edition.lnk -> F:\Program Files (x86)\Dishonored - Game of the Year Edition\Binaries\Win32\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk -> C:\Program Files (x86)\2K Games\Mafia II\launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\Desktop\Gry\Dishonored - Game of the Year Edition.lnk -> F:\Program Files (x86)\Dishonored - Game of the Year Edition\Binaries\Win32\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\Desktop\Gry\Play Dying Light.lnk -> D:\Program Files (x86)\Dying Light\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\Desktop\Gry\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona.lnk -> D:\Program Files (x86)\GTX Box Team\Wiedźmin 2 Zabójcy Królów Edycja Rozszerzona\Launcher.exe (CD Projekt RED) -> hxxp://www.istartpageing.com/?type=sc&ts=1448999514&z=850773ff302d02196bf8352g7zaz6bft1tdt4w5g6z&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420145755&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420145755&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH&q={searchTerms} HKU\S-1-5-21-583818649-3997608106-3267890143-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420145755&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH&q={searchTerms} HKU\S-1-5-21-583818649-3997608106-3267890143-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKU\S-1-5-21-583818649-3997608106-3267890143-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH HKU\S-1-5-21-583818649-3997608106-3267890143-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1420145755&from=cor&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\cn9btjkf.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\cn9btjkf.default\extensions\yahooprotected@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\cn9btjkf.default\extensions\default_newtabff@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450111643&z=d73703014a7cfc2da4793c8gaz1w1e4g1g6gfq2wde&from=wpm07173&uid=ST1000LM014-SSHD-8GB_W380X9AHXXXXW380X9AH ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal Task: {3280A8FD-0004-47AF-B6DE-C51FF250720F} - System32\Tasks\{AB847C6D-29E6-4AA4-9146-68D335289A56} => pcalua.exe -a "F:\Torrentz\Neighbours from Hell\V. 2\Neighbours From Hell 2.exe" -d "F:\Torrentz\Neighbours from Hell\V. 2" Task: {67138E62-FD61-4FD4-BE7C-A22E16827CD0} - System32\Tasks\{7CD1E58D-370A-44E0-BBA8-AD75A64071CA} => pcalua.exe -a "C:\Program Files (x86)\blueconnect\uninst.exe" Task: {720D7694-AA19-4059-B01A-05CF1C2A6114} - System32\Tasks\Driver Robot => C:\Program Files (x86)\Driver Robot\Driver Robot.lnk Task: {84CDC4A9-627E-4602-A5E5-B5B1542287EE} - System32\Tasks\{B1FC8512-39AA-46C0-87E5-D93112AB03A4} => pcalua.exe -a "F:\Torrentz\V. 1\Neighbours From Hell.exe" -d "F:\Torrentz\V. 1" Task: {BEFDDD47-5E0F-4E5F-AF8F-F9B362DBC2FF} - \globalUpdateUpdateTaskMachineCore -> Brak pliku Task: {E64E0964-9EC0-4BD8-BB8E-B1323825C695} - \globalUpdateUpdateTaskMachineUA -> Brak pliku Task: C:\Windows\Tasks\Driver Robot.job => C:\Program Files (x86)\Driver Robot\Driver Robot.lnk U5 VirtFile; C:\Windows\System32\Drivers\VirtFile.sys [117552 2014-01-29] (Symantec Corporation) S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-21-583818649-3997608106-3267890143-1001\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-583818649-3997608106-3267890143-1001\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-583818649-3997608106-3267890143-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-21-583818649-3997608106-3267890143-1001\Software\Microsoft\Windows\CurrentVersion\Run RemoveDirectory: C:\Program Files (x86)\DAEMON Tools Pro RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} RemoveDirectory: C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} RemoveDirectory: C:\ProgramData\2WdM2 RemoveDirectory: C:\ProgramData\5WdM5 RemoveDirectory: C:\ProgramData\JWMiniProJ RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Users\Lenovo\AppData\Local\Gameo RemoveDirectory: C:\Users\Lenovo\AppData\Local\StormFall RemoveDirectory: C:\Users\Lenovo\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Lenovo\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Lenovo\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\Lenovo\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Starcraft\Starcraft - Brood War Help.lnk C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Lenovo\Desktop\Nieużywane skróty\ALLPlayer.TV.lnk C:\Users\Lenovo\Downloads\SD1.4.0.608_Setup.exe C:\Users\Lenovo\Downloads\setup.exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\diskptex.dat C:\Windows\System32\Drivers\VirtFile.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > skasuj poprzedni nieużywany profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Przenoszę do działu Windows. To nie jest problem infekcji. To co jest notowane jako "rootkit" w GMER to poprawna usługa Dziennik zdarzeń (Eventlog). Usługa ma stan "Wyłączono", co oznacza że nie działa część rzeczy zależnych. I nie tylko ta usługa nie działa, prawie wszystko w Windows padło - sam sobie zaszkodziłeś masowo wyłączając wszystkie usługi Windows i programów zewnętrznych via msconfig: MSCONFIG\Services: AdobeARMservice => 3 MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: AJRouter => 3 MSCONFIG\Services: ALG => 3 MSCONFIG\Services: AppHostSvc => 2 MSCONFIG\Services: AppReadiness => 3 MSCONFIG\Services: AudioEndpointBuilder => 2 MSCONFIG\Services: Audiosrv => 2 MSCONFIG\Services: AxInstSV => 3 MSCONFIG\Services: BDESVC => 3 MSCONFIG\Services: BFE => 2 MSCONFIG\Services: BITS => 2 MSCONFIG\Services: BR.AS.VersionChangerService => 3 MSCONFIG\Services: BrAuthorizationSvcx => 2 MSCONFIG\Services: BrDiskImageSvcx => 3 MSCONFIG\Services: Browser => 3 MSCONFIG\Services: BthHFSrv => 3 MSCONFIG\Services: bthserv => 3 MSCONFIG\Services: CDPSvc => 3 MSCONFIG\Services: CertPropSvc => 3 MSCONFIG\Services: COMSysApp => 3 MSCONFIG\Services: CoordinatorServiceHost => 3 MSCONFIG\Services: cphs => 3 MSCONFIG\Services: CryptSvc => 2 MSCONFIG\Services: DcpSvc => 3 MSCONFIG\Services: defragsvc => 3 MSCONFIG\Services: DeviceAssociationService => 3 MSCONFIG\Services: DeviceInstall => 3 MSCONFIG\Services: DevQueryBroker => 3 MSCONFIG\Services: Dhcp => 2 MSCONFIG\Services: diagnosticshub.standardcollector.service => 3 MSCONFIG\Services: DiagTrack => 2 MSCONFIG\Services: DmEnrollmentSvc => 3 MSCONFIG\Services: dmwappushservice => 2 MSCONFIG\Services: Dnscache => 2 MSCONFIG\Services: DoSvc => 2 MSCONFIG\Services: dot3svc => 3 MSCONFIG\Services: DPS => 2 MSCONFIG\Services: DsmSvc => 3 MSCONFIG\Services: DsSvc => 3 MSCONFIG\Services: Eaphost => 3 MSCONFIG\Services: EFS => 3 MSCONFIG\Services: EventLog => 2 MSCONFIG\Services: EventSystem => 2 MSCONFIG\Services: Fax => 3 MSCONFIG\Services: fdPHost => 3 MSCONFIG\Services: FDResPub => 2 MSCONFIG\Services: fhsvc => 3 MSCONFIG\Services: FLEXnet Licensing Service => 3 MSCONFIG\Services: FLEXnet Licensing Service 64 => 3 MSCONFIG\Services: FontCache => 2 MSCONFIG\Services: FontCache3.0.0.0 => 3 MSCONFIG\Services: gusvc => 3 MSCONFIG\Services: hidserv => 3 MSCONFIG\Services: HomeGroupListener => 3 MSCONFIG\Services: HomeGroupProvider => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: icssvc => 3 MSCONFIG\Services: IEEtwCollectorService => 3 MSCONFIG\Services: igfxCUIService1.0.0.0 => 2 MSCONFIG\Services: IKEEXT => 3 MSCONFIG\Services: Intel® Capability Licensing Service Interface => 2 MSCONFIG\Services: iphlpsvc => 2 MSCONFIG\Services: jhi_service => 2 MSCONFIG\Services: KeyIso => 3 MSCONFIG\Services: KtmRm => 3 MSCONFIG\Services: LanmanServer => 2 MSCONFIG\Services: LanmanWorkstation => 2 MSCONFIG\Services: lfsvc => 3 MSCONFIG\Services: LicenseManager => 3 MSCONFIG\Services: lltdsvc => 3 MSCONFIG\Services: lmhosts => 3 MSCONFIG\Services: LMS => 2 MSCONFIG\Services: MapsBroker => 2 MSCONFIG\Services: MpsSvc => 2 MSCONFIG\Services: MSDTC => 3 MSCONFIG\Services: MSiSCSI => 3 MSCONFIG\Services: MSMQ => 2 MSCONFIG\Services: MSSQL$SQLEXPRESS => 2 MSCONFIG\Services: NcaSvc => 3 MSCONFIG\Services: NcbService => 3 MSCONFIG\Services: NcdAutoSetup => 3 MSCONFIG\Services: Netlogon => 3 MSCONFIG\Services: Netman => 3 MSCONFIG\Services: NetMsmqActivator => 2 MSCONFIG\Services: NetPipeActivator => 2 MSCONFIG\Services: netprofm => 3 MSCONFIG\Services: NetSetupSvc => 3 MSCONFIG\Services: NetTcpActivator => 2 MSCONFIG\Services: NetTcpPortSharing => 3 MSCONFIG\Services: NlaSvc => 2 MSCONFIG\Services: nsi => 2 MSCONFIG\Services: nvsvc => 2 MSCONFIG\Services: nvUpdatusService => 2 MSCONFIG\Services: ODMV3 => 3 MSCONFIG\Services: ose64 => 3 MSCONFIG\Services: osppsvc => 3 MSCONFIG\Services: p2pimsvc => 3 MSCONFIG\Services: p2psvc => 3 MSCONFIG\Services: PcaSvc => 2 MSCONFIG\Services: PerfHost => 3 MSCONFIG\Services: pla => 3 MSCONFIG\Services: PlugPlay => 3 MSCONFIG\Services: PNRPAutoReg => 3 MSCONFIG\Services: PNRPsvc => 3 MSCONFIG\Services: PolicyAgent => 3 MSCONFIG\Services: Power => 2 MSCONFIG\Services: PrintNotify => 3 MSCONFIG\Services: QWAVE => 3 MSCONFIG\Services: RasAuto => 3 MSCONFIG\Services: RasMan => 3 MSCONFIG\Services: RealNetworks Downloader Resolver Service => 2 MSCONFIG\Services: RealPlayer Cloud Service => 2 MSCONFIG\Services: RealPlayerUpdateSvc => 2 MSCONFIG\Services: RetailDemo => 3 MSCONFIG\Services: RpcLocator => 3 MSCONFIG\Services: SamSs => 2 MSCONFIG\Services: ScDeviceEnum => 3 MSCONFIG\Services: SCPolicySvc => 3 MSCONFIG\Services: SDRSVC => 3 MSCONFIG\Services: seclogon => 3 MSCONFIG\Services: SENS => 2 MSCONFIG\Services: SensorDataService => 3 MSCONFIG\Services: SensorService => 3 MSCONFIG\Services: SensrSvc => 3 MSCONFIG\Services: SessionEnv => 3 MSCONFIG\Services: SharedAccess => 3 MSCONFIG\Services: ShellHWDetection => 2 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: smphost => 3 MSCONFIG\Services: SmsRouter => 3 MSCONFIG\Services: SNMPTRAP => 3 MSCONFIG\Services: SolidWorks Licensing Service => 3 MSCONFIG\Services: Spooler => 2 MSCONFIG\Services: SQLWriter => 2 MSCONFIG\Services: SSDPSRV => 3 MSCONFIG\Services: SstpSvc => 3 MSCONFIG\Services: Steam Client Service => 3 MSCONFIG\Services: stisvc => 2 MSCONFIG\Services: StorSvc => 3 MSCONFIG\Services: svsvc => 3 MSCONFIG\Services: swprv => 3 MSCONFIG\Services: SynTPEnhService => 2 MSCONFIG\Services: SysMain => 2 MSCONFIG\Services: TabletInputService => 3 MSCONFIG\Services: TapiSrv => 3 MSCONFIG\Services: TermService => 3 MSCONFIG\Services: Themes => 2 MSCONFIG\Services: TrkWks => 2 MSCONFIG\Services: TrustedInstaller => 3 MSCONFIG\Services: UI0Detect => 3 MSCONFIG\Services: UmRdpService => 3 MSCONFIG\Services: UNS => 2 MSCONFIG\Services: upnphost => 3 MSCONFIG\Services: UsoSvc => 3 MSCONFIG\Services: VaultSvc => 3 MSCONFIG\Services: vds => 3 MSCONFIG\Services: vmicguestinterface => 3 MSCONFIG\Services: vmicheartbeat => 3 MSCONFIG\Services: vmickvpexchange => 3 MSCONFIG\Services: vmicrdv => 3 MSCONFIG\Services: vmicshutdown => 3 MSCONFIG\Services: vmictimesync => 3 MSCONFIG\Services: vmicvmsession => 3 MSCONFIG\Services: vmicvss => 3 MSCONFIG\Services: vncserver => 3 MSCONFIG\Services: VSS => 3 MSCONFIG\Services: W32Time => 3 MSCONFIG\Services: w3logsvc => 3 MSCONFIG\Services: W3SVC => 2 MSCONFIG\Services: WalletService => 3 MSCONFIG\Services: WAS => 3 MSCONFIG\Services: wbengine => 3 MSCONFIG\Services: WbioSrvc => 2 MSCONFIG\Services: Wcmsvc => 2 MSCONFIG\Services: wcncsvc => 3 MSCONFIG\Services: WcsPlugInService => 3 MSCONFIG\Services: WdiServiceHost => 3 MSCONFIG\Services: WdiSystemHost => 3 MSCONFIG\Services: WebClient => 3 MSCONFIG\Services: Wecsvc => 3 MSCONFIG\Services: WEPHOSTSVC => 3 MSCONFIG\Services: wercplsupport => 3 MSCONFIG\Services: WerSvc => 3 MSCONFIG\Services: WiaRpc => 3 MSCONFIG\Services: WinHttpAutoProxySvc => 3 MSCONFIG\Services: Winmgmt => 2 MSCONFIG\Services: WinRM => 3 MSCONFIG\Services: WlanSvc => 2 MSCONFIG\Services: wlidsvc => 3 MSCONFIG\Services: wmiApSrv => 3 MSCONFIG\Services: WMPNetworkSvc => 3 MSCONFIG\Services: workfolderssvc => 3 MSCONFIG\Services: WPDBusEnum => 3 MSCONFIG\Services: wscsvc => 2 MSCONFIG\Services: WSearch => 2 MSCONFIG\Services: wuauserv => 3 MSCONFIG\Services: wudfsvc => 3 MSCONFIG\Services: WwanSvc => 3 MSCONFIG\Services: XblAuthManager => 3 MSCONFIG\Services: XblGameSave => 3 MSCONFIG\Services: XboxNetApiSvc => 3 MSCONFIG\Services: ZAtheros Bt&Wlan Coex Agent => 2 Uruchom msconfig ponownie, w karcie Usługi zaznacz wszystkie pozycje i zresetuj system. Windows powinien się ożywić. Potwierdź wykonanie zadania, a podam drobny skrypt czyszczący wpisy puste (nie powiązane w ogóle z problemami).

Usuwanie przeprowadzone pomyślnie. Kolejna faza do przeprowadzenia: 1. Zastosuj DelFix w celu usunięcia używanych narzędzi. 2. Następnie zrób jeszcze skan za pomocą Hitman Pro. Dostarcz wynikowy log. By wszedł w załączniki, musi mieć rozszerzenie *.txt. Po prostu zapisz do nowego pliku.

Uruchom AdwCleaner ponownie, wywołaj Skanuj. Gdy program ukończy ten etap, wejdź do karty Foldery i odznacz pozycję C:\Users\Dj Tedex Studio\Documents\Save, o ile to jakiś Twój cenny folder z sejwami gier, bo coś mi się zdaje że to fałszywy alarm AdwCleaner. Dopiero gdy to zrobisz, uruchom opcję Usuń. Przedstaw wynikowy log z czyszczenia.

Podam kiedy zainstalować Google Chrome, na razie nadal czyszczenie w toku. Podobna sprawa niestety była z Firefox - zainstalowałeś go, mimo że to było w ogóle nie wskazane na tym etapie czyszczenia, skutki są teraz takie, że narażasz świeżego Firefoxa na zaśmiecenie, bo nie wykonałeś jednak wszystkich poleceń. Poprawki: 1. Widzisz reklamy "DNS Unlocker", bo nie wykonałeś pierwszego punktu. Wdrożyć: 2. Nie został także odinstalowany wątpliwej reputacji Splashtop Connect IE Zynga. 3. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\AREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449070826&z=3e0652d099aefd4070864dag7z9z0tee6m9e9baoab&from=ient07021&uid=ST31000524AS_6VPED1VGXXXX6VPED1VG SearchScopes: HKU\S-1-5-21-74317436-289575424-2793545732-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] (Wondershare) C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2072928 2014-10-31] (Wondershare) RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Common Files\Wondershare Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. W systemie są aż trzy konta, każde musi być sprawdzone z osobna, na razie był analizowany tylko AREK: ==================== Konta użytkowników: ============================= AREK (S-1-5-21-74317436-289575424-2793545732-1000 - Administrator - Enabled) => C:\Users\AREK Paulina (S-1-5-21-74317436-289575424-2793545732-1003 - Limited - Enabled) => C:\Users\Paulina Zbigniew (S-1-5-21-74317436-289575424-2793545732-1004 - Limited - Enabled) => C:\Users\Zbigniew Po kolei zaloguj się na każde z kont z osobna poprzez pełny restart systemu, a nie opcję Wyloguj lub Przełącz użytkownika, na każdym koncie zrób po dwa logi FRST z opcji Skanuj (Scan) - główny FRST.txt + Addition.txt, Shortcut.txt nie jest potrzebny ponownie. Na kontach limitowanych Paulina i Zbigniew należy uruchomić FRST z dwukliku, a nie przez opcję "Uruchom jako Administrator" (zmieni kontekst konta i pokaże zawartość ARKA).

Poprawki: 1. Nie został odinstalowany AVG Web TuneUp - to pasek przemycany w instalatorach AVG, rekonfigurujący ustawienia przeglądarek. Traktowany jako "PUP" (Potencjalnie niepożądany program). Odinstaluj go, bo i tak AdwCleaner zadany w kolejnym punkcie go naruszy (i nie będzie się tego paska już dało poprawnie odinstalować). 2. Nie został wyczyszczony Firefox, nadal w nim adware stoi. Wykonaj zaległy krok: 3. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall Task: {4F56E6A6-E7B7-43AE-82BA-F4BB20ECE5C3} - System32\Tasks\{1BAC4118-B41B-4099-813E-8B05482E175F} => pcalua.exe -a C:\Users\Enoszka\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cornl HKLM-x32\...\Run: [VideoDownloadConverter EPM Support] => "C:\PROGRA~2\VIDEOD~1\bar\1.bin\4zmedint.exe" T8EPMSUP.DLL,S HKLM-x32\...\Run: [VideoDownloadConverter_4z Browser Plugin Loader 64] => C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbrmon64.exe Toolbar: HKU\S-1-5-21-2451096611-3267693537-2452564422-1000 -> Brak nazwy - {7DF5D666-B938-4BD3-8B73-5E0DEBDC744D} - Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\VideoDownloadConverter RemoveDirectory: C:\ProgramData\STOPzilla! RemoveDirectory: C:\Users\Enoszka\AppData\Roaming\istartsurf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Przecież raporty sprawdzam kompleksowo, a nie tylko pod kątem tego co zgłasza użytkownik. Co było widoczne w raportach, już usunięte. Nawiasem mówiąc, masz także crack aktywacji Office (AutoKMS), który ominęłam celowo, ale różne skanery mogą go wykrywać. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Mówiłam wyraźnie, by tylko uruchomić Skanuj, a nie Skanuj + Usuń. Wyniki AdwCleaner zawsze sprawdzam asekuracyjnie, na wypadek gdyby program pokazał coś co jest fałszywym alarmem. No trudno. I poproszę teraz o kolejny log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, mający udowodnić, że przeglądarki zostały wyczyszczone.

Ale tak spraw tu nie załatwiamy, by się oddalić bez słowa. Wyniki muszą być sprawdzone, skrypt mógł czegoś nie wykonać, coś mogło zostać ominięte, jakiś punkt mogłeś "ominąć" sądząc, że mało istotny, etc. Prosiłam wyraźnie:

Wszystko zrobione. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 NetTcpHandler; C:\Users\Szekla\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () RemoveDirectory: C:\Users\Szekla\AppData\Roaming\NetService RemoveDirectory: C:\Users\Szekla\AppData\Roaming\RunDir RemoveDirectory: C:\Users\Szekla\AppData\Roaming\shortCutStore ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Szekla\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448920299 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 HKU\S-1-5-21-2762194274-3811345680-3561318026-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=mbtkplv3&uid=WD-WXE808S2C516_WDCWD1600BEVT-22ZCT0&tm=1448706242 FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Deinstalacja Firefox i Opera niestety nie usuwa w ogóle profilu z dysku. Na dysku pozostał cały profil z licznymi adware i gdybyś kiedykolwiek zainstalował w przyszłości Firefox, byłby natychmiastowo zaśmiecony. Trzeba czyścić ręcznie. Kolejne poprawki: 1. Odinstaluj Adobe Flash Player 20 NPAPI - już zbędny, to wtyczka dla Firefox. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-2930414122-1855830695-2752083529-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Mozilla RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Opera Software RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Opera Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Przypuszczalnie zedytowałeś zły skrót. Odświeżony został Fallout4Launcher.lnk na Pulpicie, a ja podawałam, by korygować ten w folderze C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Fallout 4: 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Poprawki: 1. Nie odinstalowałeś starych wersji: Adobe Flash Player 10 ActiveX, Adobe Reader XI - Polish z groźnymi lukami. Wykonaj. 2. Nie ma żadnych śladów wykonania tej operacji i wszystko nadal aktualne: 3. Dopiero po wyczyszczeniu przeglądarek uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Posty skleiłam doprowadzając do oczekiwanej tu formy. Ale oczywiście odpowiadasz mi już w nowym poście. Jest tu więcej szkodników, tzn. sterownik adware WordFly oraz w Google Chrome pozornie poprawne rozszerzenie Shortcuts for All Google™ produkujące przekierowania iktmmny.com. Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny program zintegrowany na ASUS, a znany z produkowania błędów explorer.exe: WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\bartek\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\BWdMB\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R1 wfdrvr_vw_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys [57712 2015-10-30] (WF) ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} HKU\S-1-5-21-3045090937-3747617143-1340328465-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 HKU\S-1-5-21-3045090937-3747617143-1340328465-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKU\S-1-5-21-3045090937-3747617143-1340328465-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} SearchScopes: HKU\S-1-5-21-3045090937-3747617143-1340328465-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446485605&z=5ec90be8ca735156dc07221gcz4zbq1z6b8wec4cbw&from=cor&uid=KINGSTONXSV300S37A240G_50026B7258069507 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\sidebarff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\j22qf7fx.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507" CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1450129933&z=5ebacc3752acbc67cd44decgbzfw0e8g7oft5t5cfg&from=wpm07173&uid=KINGSTONXSV300S37A240G_50026B7258069507 U0 msahci; system32\drivers\msahci.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\BWdMB RemoveDirectory: C:\ProgramData\pWdMp RemoveDirectory: C:\ProgramData\UWMiniProU RemoveDirectory: C:\Users\bartek\AppData\Roaming\TSv RemoveDirectory: C:\Users\bartek\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Ad.Block Pro.lnk C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Pro, Shortcuts for All Google™. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. FRST uruchomiony z poziomu Tymczasowych plików internetowych: Uruchomiony z C:\Users\Netria\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6U8PT22X Pobierz ponownie FRST i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Netria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1450117305&z=5017f4b7e3a2e2190d34647g6z3wbe8g1g4m7cceez&from=wpm07173&uid=LITEONXITXSCS-256L9S_002524133467 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-975397881-311121922-3298233510-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Task: {41C5C6AE-0848-435F-889B-2D6EF5FFF5CA} - System32\Tasks\{28F55E72-5DFA-4B99-BA1C-4CE9A7C3F1E1} => C:\Users\Netria\Desktop\BESTplayer.exe Task: {A865E466-49B2-4793-9615-B34A731E578C} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\nWdMn RemoveDirectory: C:\ProgramData\vWdMv RemoveDirectory: C:\Users\Netria\AppData\Roaming\TSv RemoveDirectory: C:\Users\Netria\AppData\Roaming\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Netria\Downloads\sh-remover.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Kolejna porcja zadań: 1. W ogóle nie wykonałeś tego: Wszystko do zrobienia. 2. Poprawki, w tym na dużo pustych skrótów w Shortcut.txt po odinstalowanych programach - nie zdążyłam zedytować poprzedniego posta (już go czytałeś). Otwórz Notatnik i wklej w nim: Task: {79C136EC-F880-446B-AF36-5B3DB36FFEE8} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\client32 => ""="Service" DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Dj Tedex Studio^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^GameRanger.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR12 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Chew7Hale DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CyberGhost DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Overwolf DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\STCAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZyngaGamesAgent RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files (x86)\Splashtop RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Composite 2012 64-bit RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft Pingwin Pack 4 - Ultimate RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecrat Pingwin Pack 3 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spintires RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Silent Hunter 4 Wolves of the Pacific RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAG-COM RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XAMPP 1.8.1-0 RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{30EB24E2-3E10-4AC8-ACBC-BD3E6FDFFCDB} RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{96A5E561-C547-4ABA-B8CE-65CCAF8AC644} RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{9F7CB3EF-A325-4BE5-B7DD-B7E0F1AD8298} RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Local\Microsoft\Windows\GameExplorer\{E3B650DB-0488-465B-A8A1-94A328B5A734} RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Splashtop RemoveDirectory: C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft RemoveDirectory: C:\Users\Dj Tedex Studio\Desktop\Programy\Tor Browser RemoveDirectory: C:\Windows\msdownld.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\What's new.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\NVIDIA Photoshop Plug-ins 64 bit\License.lnk C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta).lnk C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (Beta) (1).lnk C:\Users\Dj Tedex Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rigs of Rods 0.38.67\Multiplayer Server.lnk C:\Users\Dj Tedex Studio\Desktop\VAG-COM Release 409-1.lnk C:\Users\Dj Tedex Studio\Desktop\chewlog.txt C:\Users\Dj Tedex Studio\Desktop\Gry\Car Mechanic Simulator 2014.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Car Mechanic Simulator 2015.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Construction Machines 2014 - Settings.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Construction Simulator 2015.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Feuerwehr- Simulator 2010.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Ghostbusters The Video Game.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Minecraft.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Play Construction Machines 2014.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Portal 2.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\SpinTires Tech Demo (June 040613).lnk C:\Users\Dj Tedex Studio\Desktop\Gry\SpinTires Tech Demo (May 13).lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Spintires.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\SuperMeatBoy.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Symulator autobusów i tramwajów.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Symulator Policji.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\The Sims 2 Ultimate Collection.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Tony Hawk's Underground 2.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\War Thunder.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\WarThunder.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\Watch_Dogs - Deluxe Edition.lnk C:\Users\Dj Tedex Studio\Desktop\Gry\csportable\root\cstrike\models\*.mdl.lnk C:\Users\Dj Tedex Studio\Desktop\Inne\DisplayFusion.lnk C:\Users\Dj Tedex Studio\Desktop\Inne\Minecraft Pingwin Pack 4 - Ultimate.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\CyberGhost 5.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Dropbox.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Fraps.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\GameRanger.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Launch GameShadow.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\McAfee Security Scan Plus.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Minecrat Pingwin Pack 3.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\ModPack by DjVirusPL FULL 0.9.0 v5.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Oracle VM VirtualBox.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\PDF Editor 3.3.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Sizer.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Speccy.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Spotify.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\SumRando.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\TeamViewer 8.lnk C:\Users\Dj Tedex Studio\Desktop\Programy\Uaktywnij Splashtop Connect.lnk C:\Users\Dj Tedex Studio\Downloads\Chew7.rar C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\GameRanger.lnk.Startup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Skoryguj poniższy skrót: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Fallout 4\Fallout 4.lnk -> D:\Games\Fallout 4\Fallout4Launcher.exe.exe (Brak pliku) Prawoklik na plik Fallout 4.lnk i popraw w ścieżce pliku Fallout4Launcher.exe.exe na Fallout4Launcher.exe 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj najnowsze wersje Adobe. Do aktualizacji też systemowy Internet Explorer, nawet jeśli z niego nie korzystasz wcale. Linki podane również w w/w temacie. 4. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.