picasso

Potrzebuję więcej czasu na kontynuację Twojego tematu. Teraz mam taką zawieruchę w dziale, że padam na twarz i nie jestem w stanie wszystkich wątków prowadzić. Twój system jest w zadawalającym stanie. Chodzi teraz jednak o usprawnienie umożliwiające aktualizację do Windows 10. To wyląda na grubszą robotę.

Ja sądzę, że to właśnie te krakersy Cię załatwiły. A trojan został pomyślnie usunięty. Jeszcze w folderze TeamSpeak jest podejrzany folder "MSSvc", z niego były próby uruchamiania malware - sprawdziłam instalację TamSpeak i taki folder nie jest tworzony. Załączę też usuwanie opornego folderu "installer". Czyli: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\lucky\AppData\Roaming\TS3Client\MSSvc RemoveDirectory: C:\Users\lucky\Downloads\installer Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek przeinstaluj też cały TeamSpeak 3 Client od zera, bo nie jestem w stanie stwierdzić na oko czy to wszystkie modyfikacje w tym folderze. Po deinstalacji usuń cały folder C:\Users\lucky\AppData\Roaming\TS3Client. I dopiero po tym zainstaluj od nowa. 3. Kosmetyczna sprawa w Google Chrome: Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Przywracanie systemu odkręciło szkody po użyciu cudzego skryptu. Ale również wróciły na miejsce wcześniejsze śmieci (w tym adware). Poza tym, pojawił się jakiś nowy problem z niedziałającymi Usługami kryptograficznymi Windows. Wymagane poprawki. Czyli: 1. Te dwa programy, które nie dają się odinstalować spróbuj usunąć za pomocą Wise Program Uninstaller. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\8WMiniPro8\WMiniPro.exe [295424 2015-10-30] (DTools LIMITED) R2 WtuSystemSupport; C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe [620056 2015-02-26] () S2 vToolbarUpdater18.4.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.4.0\ToolbarUpdater.exe [X] ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 ShortcutWithArgument: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470 SearchScopes: HKU\S-1-5-21-3847855972-3002420087-1142518147-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447139335&z=4ec24fdcbd88e4c99428f57g8z9z7meg3catdc7c8c&from=wpm07163&uid=WDCXWD5000BEVT-24A0RT0_WD-WXH1A80N9470N9470&q={searchTerms} SearchScopes: HKU\S-1-5-21-3847855972-3002420087-1142518147-1000 -> {4DAC8EC6-E867-4F51-83DA-FF0C89CAB1B8} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} HKU\S-1-5-21-3847855972-3002420087-1142518147-1000\...\Run: [Wondershare Helper Compact.exe] => "C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelperSetup.exe" FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\e7augnnl.default-1432884363237\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\e7augnnl.default-1432884363237\extensions\deskCutv2@gmail.com => nie znaleziono DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\SalePlus RemoveDirectory: C:\ProgramData\6WdsManPro6 RemoveDirectory: C:\ProgramData\8WMiniPro8 RemoveDirectory: C:\ProgramData\Avg_Update_0215tb RemoveDirectory: C:\ProgramData\Avg_Update_1214tb CMD: sc config CryptSvc start= auto EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Uruchom ShadowExplorer. Wybierz z menu datę 11-12-2015. Przejdź do tego folderu: C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles\1x6jajd4.default-1449677413866 Skopiuj z niego folder bookmarkbackups oraz plik places.sqlite na Pulpit. Na razie tylko tyle. Będziemy to potem próbowali wstawiać do bieżącego profilu Firefoxa.

Brakuje pliku Fixlog.txt z wynikami usuwania. Plik powstał w folderze Pobrane, tam skąd był uruchamiany FRST.

Nie widzę tu nic podejrzanego w raportach FRST w kontekście opisywanego zdarzenia. Ale nie podałeś również obowiązkowego GMER. Natomiast są inne rzeczy w systemie do korekty. Jest tu zainstalowana gra Black Desert. Cytuję z innego tematu z czym to jest związane: ... przy czym u Ciebie widzę tylko usługę THORN, bez sterownika: R2 Thorn; C:\Users\Brunek\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) 2015-11-26 11:48 - 2014-08-28 10:36 - 00732160 _____ () C:\Users\Brunek\AppData\Local\THORN\libGLESv2.dll 2015-11-26 11:48 - 2014-08-28 10:41 - 00856576 _____ () C:\Users\Brunek\AppData\Local\THORN\platforms\qwindows.dll 2015-11-26 11:48 - 2014-08-28 10:36 - 00047104 _____ () C:\Users\Brunek\AppData\Local\THORN\libEGL.dll Jest też program KMPFaster (Simplitec Power Suite) wątpliwej reputacji, kojarzony z niechcianymi instalacjami metodologią "PUP". Czyli na razie inne działania: 1. Odinstaluj stare wersje i w/w delikwentów: Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.3) MUI, Akamai NetSession Interface, Black Desert, KMPFaster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Thorn; C:\Users\Brunek\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] HKU\S-1-5-21-3545704842-3712530400-1413162972-1001\...\Run: [GalaxyClient] => [X] Task: {1A9414A7-457F-4234-AC5B-203902095B3D} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe C:\ProgramData\AVG C:\Users\Brunek\AppData\Local\Avg C:\Users\Brunek\AppData\Local\THORN C:\Users\Brunek\AppData\Roaming\AVG C:\Users\Brunek\Desktop\Programy\GameNet.lnk C:\Users\Brunek\Desktop\Programy\Skype.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "AO Link Server" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring"/ f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "GalaxyClient /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz zalegy GMER. Dołącz też plik fixlog.txt.

Zrobione. Wygląda na to, że kończymy: 1. Był tu uruchamiany GMER, więc upewnij się, że transfer dysku nie obniżył się. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Usuń pobrane skanery i ich logi z folderu G:\Instalki\Malwarebytes. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Poczytaj na co uważać, by uniknąć podobnych niespodzianek: KLIK. I wielkie dzięki za "podjęcie decyzji"!

Kończąc sprawy pierwszego komputera: 1. Usuń z Pulpitu folder frst. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Odpowiedz czy ta operacja ma jakieś skutki:

Wykonane. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj też na co uważać: KLIK.

Kończymy: 1. Uruchom Google Chrome > Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie pozycje, za wyjątkiem Google. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Nie, temat oczywiście nie zostanie zamknięty. Jeśli chodzi o ten komunikat, to po prostu kliknij na nim "Tak" i doprowadź do zainstalowania Java (niezależnie od potencjalnych błędów po prostu postaraj się ukończyć ten proces). Po tym zastosuj podawany wcześniej usuwacz. A nowe logi wykażą czy były jakieś zmiany.

Ostatnia poprawka Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Conduit DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Classes\pokki DeleteKey: HKLM\SOFTWARE\Wow6432Node\Conduit DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartpageingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Martyna\AppData\Roaming\istartsurf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Teraz mam jasny obraz sytuacji. Fix FRST w pierwszym podejściu wszystko wykonał. Możemy się zająć poprawkami: 1. Otwórz Notatnik i wklej w nim: Tcpip\Parameters: [NameServer] 199.203.131.145 82.163.143.167 HKU\S-1-5-21-1547161642-1078081533-725345543-1004\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\npDeployJava1.dll [brak pliku] S2 AntiVirMailService; "C:\Program Files\AntiVir PersonalEdition Premium\avmailc.exe" [X] S2 AntiVirScheduler; "C:\Program Files\AntiVir PersonalEdition Premium\sched.exe" [X] S2 AntiVirService; "C:\Program Files\AntiVir PersonalEdition Premium\avguard.exe" [X] S2 AVEService; "C:\Program Files\AntiVir PersonalEdition Premium\avesvc.exe" [X] R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [43584 2007-03-20] (Avira GmbH) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28352 2007-03-01] (Avira GmbH) S1 avgio; \??\C:\Program Files\AntiVir PersonalEdition Premium\avgio.sys [X] S3 avgntflt; \??\C:\Program Files\AntiVir PersonalEdition Premium\avgntflt.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:^Documents and Settings^radeczek^Menu Start^Programy^Autostart^LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.lnk C:\Documents and Settings\All Users\Dane aplikacji\{01c71119-85f6-8fd7-01c7-7111985f4466} C:\Documents and Settings\All Users\Dane aplikacji\{5df37a25-3bc0-96cc-5df3-37a253bce894} C:\Documents and Settings\All Users\Dane aplikacji\{b366fa38-6b1f-f840-b366-6fa386b1e8e1} C:\Documents and Settings\All Users\Dane aplikacji\{b59ef7de-c76e-d052-b59e-ef7dec76df7b} C:\Documents and Settings\All Users\Dane aplikacji\{fb603cff-d076-486f-fb60-03cffd07f3ff} C:\Documents and Settings\All Users\Dane aplikacji\744145b50000185d C:\Documents and Settings\All Users\Dane aplikacji\9634555400007072 C:\Documents and Settings\All Users\Dane aplikacji\Block The Ads C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\update C:\Documents and Settings\All Users\Menu Start\Programy\ff42i15r14e33f26o83x.lnk C:\Documents and Settings\radeczek\Dane aplikacji\Shortcut C:\Documents and Settings\radeczek\Dane aplikacji\sweet-page C:\Documents and Settings\radeczek\Dane aplikacji\yiffalicious C:\Documents and Settings\radeczek\Ustawienia lokalne\Temp-log.txt C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Yandex C:\Documents and Settings\radeczek\Ustawienia lokalne\Dane aplikacji\Yiffalicious crew C:\Program Files\Java C:\Program Files\McAfee C:\Program Files\Opera C:\Program Files\SkanerOnline C:\WINDOWS\pss\LoveROMs_Pokemon - Leaf Green Version (U) (V1.1).zip.lnkStartup C:\WINDOWS\system32\pl.html C:\WINDOWS\System32\DRIVERS\avipbb.sys C:\WINDOWS\System32\DRIVERS\ssmdrv.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 2. Deinstalacja Avira nie była zbyt "czysta". Popraw jeszcze narzędziem Avira Registry Cleaner. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Przypominam, by poprawić datę komputera, by logi powstały w poprawnym kontekście czasowym.

Trochę się pośpieszyłeś z tymi nowymi instalacjami. Takie rzeczy robi się na szarym końcu, a tu nadal czyszczenie w toku. Kolejne poprawki: Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\YahooPartnerToolbar DeleteKey: HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\dt soft\daemon tools toolbar DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3D2C9DE6-9ADE-4252-A241-E43723B0CE02} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\ProgramData\pWdsManProp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione, problem główny rozwiązany. Kolejna porcjaczynności: 1. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Notuję tu już od początku poniższy oto odczyt. Poproszę o log z Farbar Service Scanner. mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona.

Wszystko wygląda elegancko. Teraz jeszcze drobne sprawdzanie: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na podstawie zawartości folderu Temp wiadomo, że był uruchamiany świński "Asystent pobierania" portalu dobreprogramy.pl: KLIK. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\8WdM8\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT ShortcutWithArgument: C:\Users\Lord Lemur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms} HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms} HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKU\S-1-5-21-3012261713-3946105542-649937570-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT&q={searchTerms} SearchScopes: HKU\S-1-5-21-3012261713-3946105542-649937570-1002 -> {D1946AB6-3DF2-42A1-ACE9-F9C50D2B3454} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449832635&z=8cef1005e2e027024929ee6g8z0z9tdb0cbo7q0c6c&from=ient07021&uid=TOSHIBAXMQ01ABD075_Z3DMPKMZTXXZ3DMPKMZT HKLM\...\Run: [] => [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-3012261713-3946105542-649937570-1002\...\MountPoints2: {b0cb83f0-d614-11e4-826a-0c54a5f2ac84} - "G:\setup.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\8WdM8 RemoveDirectory: C:\Users\Lord Lemur\Desktop\Stare dane programu Firefox CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Nieudane logi z pierwszego posta usuwam, odnoszę się oczywiście do nowych. Następuje działania do wdrożenia: 1. Odinstaluj starą wersję Java SE Development Kit 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Dark Orbit.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - Dark Orbit\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Mahjongg Dark Dimensions.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - Mahjongg Dark Dimensions\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\World of Warcraft.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - World of Warcraft\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKU\S-1-5-21-3778980704-3545967183-931079211-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKU\S-1-5-21-3778980704-3545967183-931079211-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3778980704-3545967183-931079211-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} SearchScopes: HKU\S-1-5-21-3778980704-3545967183-931079211-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Halina\AppData\Roaming\Mozilla\Firefox\Profiles\h48fcbie.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Halina\AppData\Roaming\Mozilla\Firefox\Profiles\h48fcbie.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-09] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S Task: {C7AA5242-396C-4F30-85A7-28045E9AE9D8} - System32\Tasks\PFExe => C:\Users\Halina\AppData\Local\PriceFountain\pricefountain.exe HKLM\...\Run: [] => [X] HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch HKLM-x32\...\Run: [AvgUi] => "C:\Program Files (x86)\AVG\Framework\Common\avguix.exe" /fmw.trayonly HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3778980704-3545967183-931079211-1001\...\RunOnce: [Application Restart #2] => C:\Users\Halina\AppData\Local\Pokki\Engine\HostAppService.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-cl (dane wartości zawierają 551 znaków więcej). R2 IhPul; C:\Users\Halina\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\WarThunder DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvgUi /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AVG_UI /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset RemoveDirectory: C:\Users\Halina\AppData\Roaming\TSv RemoveDirectory: C:\Users\Halina\AppData\Roaming\WarThunder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dragons of Atlantis.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Edgeworld.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FarmVille 2.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Groupon.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl8.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione, a FSS nie wykazuje naruszeń w usługach. I jeszcze inne drobne poprawki: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowany Bing. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2728440765-1480881117-2173122078-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy CMD: del /q C:\Users\Kasia\Downloads\MicrosoftFixit50688.msi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione, adware usunięte, dane na pendrive przywrócone do pożądanej postaci. Teraz na wszelki wypadek jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na 100% nie będzie tytułowego problemu w Google Chrome, bo wg Fixlog wszystko usunięte, w tym czynny proces odtwarzający modyfikację. Z tym, że podaj poprawny log FRST.txt - ten tu załączony jest ... pusty. Zrób log już po instalacji Google Chrome, by można było ocenić wygląd przeglądarki.

Dostarczone raporty FRST pochodzą sprzed usuwania, mimo że zrobione jakoby "po usuwaniu". Poproszę o zrobienie świeżych raportów FRST.txt + Addition.txt ponownie.

Drobna poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{85198F55-85AC-498A-BFE4-BBC33840F4AB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\RayDld DeleteKey: HKLM\SOFTWARE\Wow6432Node\ihpmserver DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Mal\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Mal\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Mal\Desktop\Upload CMD: del /q C:\Users\Mal\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Poprawki: 1. Czy na pewno wcześniej zresetowałeś Google Chrome? Wykonaj to ponownie, nawet jeśli było to prowadzone. 2. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe URLSearchHook: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 - (Brak nazwy) - {08d6b0b4-c132-470d-a8e2-aa2e9c3851c9} - Brak pliku BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku= BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku Toolbar: HKU\.DEFAULT -> Brak nazwy - {08D6B0B4-C132-470D-A8E2-AA2E9C3851C9} - Brak pliku Toolbar: HKU\.DEFAULT -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {08D6B0B4-C132-470D-A8E2-AA2E9C3851C9} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {30F9B915-B755-4826-820B-08FBA6BD249D} - Brak pliku Toolbar: HKU\S-1-5-21-1679813524-3586070068-693276116-1000 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku FF Plugin: @java.com/DTPlugin,version=1.6.0_39 -> C:\Windows\system32\npdeployJava1.dll [2013-01-15] (Sun Microsystems, Inc.) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-10] () R3 ALSysIO; \??\C:\Users\Jacek\AppData\Local\Temp\ALSysIO.sys [X] DeleteKey: HKCU\Software\Conduit DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Softonic DeleteKey: HKCU\Software\Speedchecker Limited DeleteKey: HKCU\Software\StartSearch DeleteKey: HKCU\Software\torch DeleteKey: HKCU\Software\Uniblue DeleteKey: HKCU\Software\vShare.tv DeleteKey: HKCU\Software\YahooPartnerToolbar DeleteKey: HKCU\Software\AppDataLow\Software\AVG Security Toolbar DeleteKey: HKCU\Software\AppDataLow\Software\Toolbar DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2890AD95-0209-92E4-03E0-69C5D783E039} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{57BCA5FA-5DBB-45A2-B558-1755C3F6253B} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Conduit DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\InstallCore DeleteKey: HKLM\SOFTWARE\torch DeleteKey: HKLM\SOFTWARE\Trymedia Systems DeleteKey: HKLM\SOFTWARE\Uniblue DeleteKey: HKLM\SOFTWARE\TSv DeleteKey: HKLM\SOFTWARE\yoursearchingSoftware DeleteKey: HKLM\SOFTWARE\Classes\b DeleteKey: HKLM\SOFTWARE\Classes\Conduit.Engine DeleteKey: HKLM\SOFTWARE\Classes\escort.escrtBtn.1 DeleteKey: HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc DeleteKey: HKLM\SOFTWARE\Classes\Prod.cap DeleteKey: HKLM\SOFTWARE\Classes\protector_dll.protectorbho DeleteKey: HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1 DeleteKey: HKLM\SOFTWARE\Classes\Toolbar.CT3031607 DeleteKey: HKLM\SOFTWARE\Classes\AppID\esrv.EXE DeleteKey: HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE DeleteKey: HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{07CAC314-E962-4F78-89AB-DD002F2490EE} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{13ABD093-D46F-40DF-A608-47E162EC799D} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\88F4981A41C989480BC43B3C81A84BD458B7C0FB._service_run DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinampAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Update RightSurf DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\.DEFAULT\Software\AVG Secure Search DeleteKey: HKU\.DEFAULT\Software\vShare.tv DeleteKey: HKU\.DEFAULT\Software\Winamp Toolbar DeleteKey: HKU\.DEFAULT\Software\AppDataLow\Software\AVG Security Toolbar DeleteKey: HKU\.DEFAULT\Software\AppDataLow\Software\Conduit DeleteKey: HKU\.DEFAULT\Software\AppDataLow\Software\conduitEngine DeleteKey: HKU\.DEFAULT\Software\AppDataLow\Software\PriceGong RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\AVG Security Toolbar RemoveDirectory: C:\Program Files\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\ProgramData\Avg_Update_0814tb RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Trymedia RemoveDirectory: C:\Users\Jacek\AppData\Local\AVG Security Toolbar RemoveDirectory: C:\Users\Jacek\AppData\Local\torch RemoveDirectory: C:\Users\Jacek\AppData\LocalLow\AVG Secure Search RemoveDirectory: C:\Users\Jacek\AppData\LocalLow\AVG Security Toolbar RemoveDirectory: C:\Users\Jacek\AppData\LocalLow\BabylonToolbar RemoveDirectory: C:\Users\Jacek\AppData\LocalLow\Conduit RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Funmoods RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Systweak RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Uniblue RemoveDirectory: C:\Users\Jacek\AppData\Roaming\mipony RemoveDirectory: C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\ssj8qhqw.default RemoveDirectory: C:\Users\Jacek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Jacek\Documents\Mobogenie CMD: del /q C:\Users\Jacek\daemonprocess.txt CMD: del /q C:\Users\Jacek\Downloads\SpyHunter-Installer.exe CMD: del /q C:\Windows\system32\conduitEngine.tmp CMD: del /q C:\Windows\System32\drivers\EsgScanner.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasujz Pulpitu folderu FRST + Stare dane programu Firefox. 2. Do usunięcia reszty odpadków narzędzi zastosuj DelFix. 3. I cały system do aktualizacji, stan obecny fatalny - brak SP2, IE9 i masy innych aktualizacji. Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) Język: Polski (Polska) Internet Explorer Wersja 7 (Domyślna przeglądarka: FF)