picasso

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Wydzieliłam temat. Wymagane są też oczywiście logi: Nie jest powiedziane na czym to konkretnie polega. Sugestie: - Wyłącz program antywirusowy na czas pobierania i uruchamiania FRST. - Zmień nazwę pobranego pliku FRST na dowolną inną i spróbuj program uruchomić.

czarnewrony Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Temat wydzielony tu: KLIK. Pawel7 W eksploratorze Windows menu Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > odznacz Ukryj rozszerzenia znanych plików, a będziesz w stanie zmienić ręcznie nazwę pliku.

komar1993 Usunęłam ten link do "opisu usuwania GetPrivate". To jeden z lewych opisów, których cel to nakierowanie na instalację wątpliwego skanera SpyHunter. Kula1612 Problemem jest proxy (Privoxy) wstawione przez adware. Obiektów adware jest jednak o wiele więcej. Niestety już zdążyłeś użyć SpyHunter, z daleka od tego wyrobu. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: - Z poziomu Panelu sterowania: Java 7 Update 71 (64-bit), Java 8 Update 31, Norton Security Scan, ophcrack 3.6.0. - Z poziomu Menu Start: Real Alternative. - Zastosuj specjalny usuwacz SUPERAntiSpyware Uninstaller Assistant. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {01531192-f7ef-415f-a549-cfdb11836731}w64; C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w64.sys [60704 2014-05-20] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64.sys [61072 2014-08-22] (StdLib) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-11-24] () R2 PrivoxyService; C:\Program Files (x86)\AFC Secure Net\privoxy.exe [371200 2015-11-30] (The Privoxy team - www.privoxy.org) [brak podpisu cyfrowego] R2 Update ClearThink; C:\Program Files (x86)\ClearThink\updateClearThink.exe [323312 2014-09-11] () R2 Update Surftastic; C:\Program Files (x86)\Surftastic\updateSurftastic.exe [322984 2014-09-09] () R2 Util ClearThink; C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe [323312 2014-09-14] () R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-03-27] (StdLib) S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X] S3 X6va011; \??\C:\Windows\SysWOW64\Drivers\X6va011 [X] S3 X6va012; \??\C:\Windows\SysWOW64\Drivers\X6va012 [X] S3 X6va013; \??\C:\Windows\SysWOW64\Drivers\X6va013 [X] S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X] S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X] S3 X6va023; \??\C:\Windows\SysWOW64\Drivers\X6va023 [X] HKU\S-1-5-21-3902127326-1100159256-351901547-1000\...\Run: [EpicScale] => 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Updater.lnk [2015-05-18] BootExecute: autocheck autochk * aswBoot.exe /M:283d9819d9 /wow /dir:"C:\Program Files\AVAST Software\Avast" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {029CEB8D-711D-4B20-B5E7-1E9D47DFF20C} - System32\Tasks\{947A3AEF-7E98-4A32-93A0-C76DBBD13C7E} => pcalua.exe -a "C:\Program Files (x86)\WinRAR\WinRAR.exe" -d C:\Users\user\Downloads -c "C:\Users\user\Downloads\LEGOMarvelDemo.zip" Task: {0423A899-6A1B-41DD-95E8-06195FE46933} - System32\Tasks\{057300D9-21F4-4715-8445-D55317D37659} => C:\Users\user\Downloads\The_Binding_of_Isaac_Rebirth.exe [2015-08-09] (Games on Cat-A-Cat.Net ) Task: {058C69D3-2F15-44DD-AD4E-1023B78E625B} - System32\Tasks\{3DD47F38-994A-491B-AA40-2871874536C2} => pcalua.exe -a C:\Users\user\Downloads\powersetup.exe -d C:\Users\user\Downloads Task: {066EEDFA-9703-410A-A694-4C1223E76A14} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {12D1BBFD-E103-4CB1-B806-680A64BDE0CD} - System32\Tasks\{DAE7613D-3C10-41BC-A9AA-22D1A6D35EE5} => Firefox.exe hxxp://ui.skype.com/ui/0/7.3.0.101/pl/go/help.faq.installer?LastError=1618 Task: {13B76353-7111-461F-82B2-99561F32CA4C} - System32\Tasks\{DE5449FA-573A-4CD0-ABE8-EAB54824B012} => C:\Program Files (x86)\Mount&Blade Warband\mb_warband.exe Task: {14EB0E86-68AA-4868-81C1-7C8A5D8729ED} - System32\Tasks\{D1733003-67EE-4308-9E98-3F68CE5F74BA} => pcalua.exe -a "C:\Program Files (x86)\DAEMON Tools Lite\InstallGadget.exe" -d "D:\Games\Nowy folder" -c "D:\Games\Nowy folder\CIVILIZATION V NOWY WSPANIAŁY ŚWIAT [ 2013 ] PC.part1.rar" Task: {194D614D-1568-42F4-BEBB-30F7B8B4BCE2} - System32\Tasks\{D86CF1DF-D0B3-4492-A504-BDAA77B2CB85} => pcalua.exe -a C:\Users\user\Downloads\RemoveWGA1.2_www.INSTALKI.pl.exe -d C:\Users\user\Downloads Task: {20A0DDFD-815A-428D-A427-F27DAED05537} - System32\Tasks\{C9B309D4-D702-44ED-8260-198328DB8211} => D:\SG Interactive\Crossfire Europe\CF_SGIN.exe Task: {281E9F14-6CA5-4545-8BC3-31CCC81DAAF2} - System32\Tasks\{EE9DE841-B21A-434C-9404-DAB1BDD7F6AE} => Chrome.exe hxxp://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {2B0A5F98-A157-40CA-8E2B-71EAFF65357D} - System32\Tasks\{9BB6A097-3B16-453D-A9E8-62390074D34F} => Firefox.exe hxxp://ui.skype.com/ui/0/7.3.0.101/pl/go/help.faq.installer?LastError=1618 Task: {4BAF1BA3-419A-4415-8F37-B19C799DC1E0} - System32\Tasks\{3BE76094-2D70-4CB9-A4FE-2CC9FB68675F} => pcalua.exe -a C:\ProgramData\LGMOBILEAX\LGMLauncher.exe -d C:\ProgramData\LGMOBILEAX Task: {4EA3DD90-0EBE-484C-8332-FEDE4C8F8D15} - System32\Tasks\{707DEFF8-864E-415A-A5AD-D7675ADBC8E9} => pcalua.exe -a "C:\Users\user\Desktop\Jakieś dokumenty\MinecraftZyczu.exe" -d "C:\Users\user\Desktop\Jakieś dokumenty" Task: {579BE61C-7CA1-4AEB-A40D-2E3B9CC85CD9} - System32\Tasks\Upload Update Cleaner => C:\Program Files (x86)\Upload Update\UploadUpdate.exe [2015-07-30] (Secure Best Updater) Task: {61D85B7F-B095-49DA-ADEB-AF2EF0DEFCAB} - System32\Tasks\{29FFD11F-EDF2-4391-B713-DFB60D1831ED} => pcalua.exe -a C:\Users\user\Desktop\MinecraftZyczu.exe -d C:\Users\user\Desktop Task: {7107564E-9B40-49D3-80B3-4C9265097F02} - System32\Tasks\{FF917F96-AF73-4FF5-A692-3CB810E2C070} => Chrome.exe hxxp://ui.skype.com/ui/0/6.11.0.102/pl/abandoninstall?page=tsProgressBar Task: {77DDB017-2D56-4727-B44A-24AE4221A738} - System32\Tasks\{EE5775A6-3415-4D46-A358-DF19BC2D17EE} => pcalua.exe -a C:\Users\user\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {8064C076-0306-4984-BF8D-2F016E1E0EDB} - System32\Tasks\{EAE312DD-3805-4AF3-9EED-6DA27B647AAF} => pcalua.exe -a "C:\Program Files (x86)\EA Games\Battlefield Heroes\uninstaller.exe" -c "C:\Program Files (x86)\EA Games\Battlefield Heroes\Uninstall.xml" Task: {892A749A-75D4-4363-96D7-3A87044198D6} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe [2014-09-20] (Megaify Software Co., Ltd.) Task: {9261C1D5-55EF-440E-A3B3-3F7D8D90453E} - System32\Tasks\{09CF6BB4-53C9-459E-B8F0-2D08D0A24153} => pcalua.exe -a C:\Users\user\Desktop\MinecraftZyczu(1).exe -d C:\Users\user\Desktop Task: {A595625B-BE5C-4079-8021-4A237ACDAFE9} - System32\Tasks\{481EB556-2557-415F-A320-AF31205D1AF7} => pcalua.exe -a C:\Users\user\Desktop\Kuba\MinecraftZyczu(1).exe -d C:\Users\user\Desktop\Kuba Task: {A7089C68-4C3B-4776-875F-2474E1A1C651} - System32\Tasks\{A2D4AB3B-5156-4DAE-972B-B699BDDD03AA} => pcalua.exe -a C:\Users\user\Downloads\B2CAppSetup.exe -d C:\Users\user\Downloads Task: {AA50301E-33A2-445B-9C0D-FDE0BA635629} - System32\Tasks\{04477375-3690-41B2-9F4A-85EC1F7749A8} => pcalua.exe -a C:\Users\user\Downloads\heroes_might_magic_5_1.06_us.exe -d C:\Users\user\Downloads Task: {BCF94B32-13DA-4456-B00B-18BC98CED4EF} - System32\Tasks\{D2921AEA-33E9-41DF-98B5-0C4EA1B47B71} => pcalua.exe -a "C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^\MinecraftZyczu(1).exe" -d "C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^" Task: {BE80FBFE-94D3-4493-A743-9718158686D5} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2015-12-03] (AVAST Software) Task: {C08B5CE9-B0ED-4C59-9D8A-DA99018559E4} - System32\Tasks\{13F4FC01-E906-4D34-AE94-E606DBD6EDAB} => pcalua.exe -a C:\Users\user\Downloads\The_Binding_of_Isaac_Rebirth.exe -d C:\Users\user\Downloads Task: {D081CF90-0774-4666-95A5-7D38E9B9A69A} - System32\Tasks\{791670B0-DB45-42C9-8CF6-244913F56461} => pcalua.exe -a G:\crack\TWEE_Upgrade\Disk1\setup.exe -d G:\crack\TWEE_Upgrade\Disk1 Task: {D44FDA9D-CE6C-4427-939B-FBFCC63B4E3F} - System32\Tasks\{3FE5AE0E-D11B-4330-98B9-F476F1616746} => pcalua.exe -a E:\pelne\Wargame\Setup.exe -d E:\pelne\Wargame Task: {DFD3D490-4414-4355-81A9-220E91D71A3E} - System32\Tasks\{868CF27B-3B23-4AFF-9CE8-4E31A003CA44} => C:\Program Files (x86)\Origin Games\SimCity\SimCity\SimCity.exe Task: {F50B7883-8A82-48FD-87C3-5C004F28A1C6} - System32\Tasks\{A0E8C36D-D83E-4FEF-8AE8-1FE85DB22342} => pcalua.exe -a C:\Users\user\Downloads\MinecraftZyczu.exe -d C:\Users\user\Downloads Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://websearch.searchtotal.info/?pid=24388&r=2015/05/26&hid=6274663132648393333&lg=EN&cc=PL&unqvl=88 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3902127326-1100159256-351901547-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} HKU\S-1-5-21-3902127326-1100159256-351901547-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.pl/?gws_rd=ssl SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = hxxp://www.default-search.net/search?sid=498&aid=146&itype=a&ver=12791&tm=363&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=ed8d2ecf7011b253ef33d10715fa60af&c=p1&src=srch&inst=1439648403 SearchScopes: HKLM-x32 -> {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=ed8d2ecf7011b253ef33d10715fa60af&c=p1&src=srch&inst=1439648403 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1397469937&from=cor&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = hxxp://www.default-search.net/search?sid=498&aid=146&itype=a&ver=12791&tm=363&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtotal.info/?l=1&q={searchTerms}&pid=24388&r=2015/05/26&hid=6274663132648393333&lg=EN&cc=PL&unqvl=88 SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=ed8d2ecf7011b253ef33d10715fa60af&c=p1&src=srch&inst=1439648403 SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=ed8d2ecf7011b253ef33d10715fa60af&c=p1&src=srch&inst=1439648403 SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = hxxp://www.default-search.net/search?sid=498&aid=146&itype=a&ver=12791&tm=363&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKU\S-1-5-21-3902127326-1100159256-351901547-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtotal.info/?l=1&q={searchTerms}&pid=24388&r=2015/05/26&hid=6274663132648393333&lg=EN&cc=PL&unqvl=88 BHO: Brak nazwy -> {11111111-1111-1111-1111-110411851159} -> Brak pliku BHO: Brak nazwy -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> Brak pliku BHO: Brak nazwy -> {A4FA9A0D-BFF2-4E1E-404B-3AEA9827203A} -> Brak pliku BHO: Brak nazwy -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> Brak pliku BHO: Brak nazwy -> {AEA9D0A8-D420-4B8A-9F15-E8CE9AC85F6F} -> Brak pliku BHO-x32: Brak nazwy -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> Brak pliku BHO-x32: Brak nazwy -> {AEA9D0A8-D420-4B8A-9F15-E8CE9AC85F6F} -> Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [2013-09-20] (Pando Networks) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-06-06] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-06-06] (globalUpdate) FF Plugin HKU\S-1-5-21-3902127326-1100159256-351901547-1000: pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [2013-09-20] (Pando Networks) CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2014-04-11] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Program Files\Enigma Software Group C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\AFC Secure Net C:\Program Files (x86)\ClearThink C:\Program Files (x86)\CostMin C:\Program Files (x86)\DriverToolkit C:\Program Files (x86)\fst_pl_116 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Pando Networks C:\Program Files (x86)\PriceMiNus C:\Program Files (x86)\RegClean Pro C:\Program Files (x86)\SimpleFiles C:\Program Files (x86)\SimpleFilesUpdater C:\Program Files (x86)\Supporter C:\Program Files (x86)\Surftastic C:\Program Files (x86)\Upload Update C:\Program Files (x86)\Windows Updater C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\HirezPipeError.txt C:\ProgramData\7daec4cbfca81e58 C:\ProgramData\9056392281084927576 C:\ProgramData\AVAST Software C:\ProgramData\CostMin C:\ProgramData\EpicScale C:\ProgramData\hjpcdhbppclgjlicnbcbfommcjeeiapa C:\ProgramData\systemk C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{67222651-C4A8-4BF1-96B4-953D41B10019} C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk C:\ProgramData\Microsoft\Windows\Start Menu\SimpleFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Brick-Force C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverToolkit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeSoftToday C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\gPotato.eu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overspeed C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Play C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SimCity™ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SSIII Solo Ultratus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xfire C:\ProgramData\Microsoft\Windows\Start Menu\SimpleFiles C:\Users\user\AppData\Local\11594 C:\Users\user\AppData\Local\Chromatic Browser C:\Users\user\AppData\Local\Comodo C:\Users\user\AppData\Local\DriverToolkit C:\Users\user\AppData\Local\FilesFrog Update Checker C:\Users\user\AppData\Local\fst_pl_116 C:\Users\user\AppData\Local\Mobogenie C:\Users\user\AppData\Local\Opera Software C:\Users\user\AppData\Local\PowerChallenge C:\Users\user\AppData\Local\Torch C:\Users\user\AppData\Local\WebPlayer C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{2A587A5C-A50B-4D42-AD49-1EB61973541B} C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{59A9B906-1795-4ADB-A711-027A22A36687} C:\Users\user\AppData\Roaming\EDC7.tmp C:\Users\user\AppData\Roaming\OpenCandy C:\Users\user\AppData\Roaming\Opera Software C:\Users\user\AppData\Roaming\systweak C:\Users\user\AppData\Roaming\Updater C:\Users\user\AppData\Roaming\VOPackage C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MiniGet C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\Users\user\Desktop\League of Legends.lnk C:\Users\user\Desktop\Jakieś dokumenty\Avast*.lnk C:\Users\user\Desktop\Jakieś dokumenty\DriverToolkit.lnk C:\Users\user\Desktop\Jakieś dokumenty\Duel of Champions Launcher.lnk C:\Users\user\Desktop\Jakieś dokumenty\ExMachina Arcade.lnk C:\Users\user\Desktop\Jakieś dokumenty\Farming Simulator Classic.lnk C:\Users\user\Desktop\Jakieś dokumenty\FLV Player.lnk C:\Users\user\Desktop\Jakieś dokumenty\Gameforge Live.lnk C:\Users\user\Desktop\Jakieś dokumenty\Gameforge Live (2).lnk C:\Users\user\Desktop\Jakieś dokumenty\Gothic III.lnk C:\Users\user\Desktop\Jakieś dokumenty\Play Rayman 3.lnk C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^\Mozilla Firefox.lnk C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^\Shards of War.lnk C:\Users\user\Desktop\Jakieś dokumenty\Kuba ^^\Sid Meiers Civilization Beyond Earth.lnk C:\Users\user\Desktop\Jakieś dokumenty\NIE TYKAĆ\Brick-Force.lnk C:\Users\user\Desktop\Jakieś dokumenty\NIE TYKAĆ\Heroes3 — skrót.lnk C:\Users\user\Desktop\Jakieś dokumenty\NIE TYKAĆ\Origin.lnk C:\Users\user\Desktop\Jakieś dokumenty\NIE TYKAĆ\SimCity™.lnk C:\Users\user\Downloads\sh-remover.exe C:\Users\UpdatusUser\AppData\Local\Comodo C:\Users\UpdatusUser\AppData\Local\Google C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w64.sys C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64.sys C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\wStLibG64.sys CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt ma być w tym samym katalogu skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj, a stary w opcjach usuń. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zastosuj ServicesRepair. Jeśli nie pomoże, podaj raport z Farbar Service Scanner. Jeśli chodzi o opcjonalne aktualizacje, to należy przeczytać opisy tych pozycji o nazwie "Aktualizacja systemu", czy opisywane problemy w ogóle występują u Ciebie, w przeciwnym wypadku nie trzeba ich instalalować. "Pakiet językowy .NET" można sobie darować. Natomiast komponent Intel do instalacji.

Przeprowadź następującą operację: 1. Zainstaluj najnowszą Java, link w przyklejonym: KLIK. Następnie uruchom specjalny deinstalator Java: KLIK. On powinien usunąć odpadki starej wersji z pominięciem najnowszej. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Posty połączyłam, logi uzupełnione. Nie edytuj pierwszego posta, odpowiadasz mi już w nowym. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IhPul; C:\Users\Pawel\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\rWdMr\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC ShortcutWithArgument: C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC Edge HomeButtonPage: HKU\S-1-5-21-146596287-35509435-1045254187-1001 -> hxxp://www.delta-homes.com/?type=hp&ts=1444728147&z=b324f567ebd54bef6b8468fg5z6z1z7m9o4bag1w0e&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447147134&z=48c0fb04382d2d6d91d67fbg8zfz6mcg3z9meg0cam&from=wpm07163&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448365998&z=b3d54bf9715e48f1c2f5bb5g1z4zfb1c2q3qae6e6g&from=ient07031&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC HKU\S-1-5-21-146596287-35509435-1045254187-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448365998&z=b3d54bf9715e48f1c2f5bb5g1z4zfb1c2q3qae6e6g&from=ient07031&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-146596287-35509435-1045254187-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449656824&z=3cd41932499296b9f260dc0g8z1z1teq5wbq3b8ocz&from=ient07021&uid=ST2000DM001-1ER164_Z4Z350NCXXXXZ4Z350NC&q={searchTerms} HKLM-x32\...\Run: [] => [X] Task: {18FF97B4-BC3D-4D8D-81CC-42BDFC60ADEB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {1C1C2548-5703-4EA5-B792-63DE8AE689A5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {3D63C834-A09A-40C3-98AC-AAA9DB7A92E2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {3DB82585-FD77-46D3-866E-A67E4B98223D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {53B60FF0-89DC-48DD-BAE3-7A41A2BCCB8B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5D09BE28-548F-49AE-A7FC-B7CB5F15E397} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {64070D48-615A-4E4D-8BE0-12DE5A89A379} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7C017319-A8E5-41C9-9163-E3FF6E3D7DC6} - System32\Tasks\Opera scheduled Autoupdate 1443548199 => C:\Program Files (x86)\Opera\launcher.exe Task: {7E668E88-CF9A-4D1D-A029-DBC061CD518B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9FB6D558-9EAA-4AA5-BB2C-C087FBE58DD4} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C1E801CC-85A4-42B4-A111-CC38114C45FD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D853FF5C-D241-4D6B-B002-DADDE10856AB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {E3CCA863-B7E6-41C1-AF5E-3C4FBD5BA448} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E5D15AA9-90C7-434A-BDB0-1F8EAB8FD582} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe C:\Program Files (x86)\Google C:\Program Files (x86)\SFK C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\2WMiniPro2 C:\ProgramData\pWMiniProp C:\ProgramData\rWdMr C:\ProgramData\XWdMX C:\ProgramData\Microsoft\Windows\GameExplorer\{B0019ED2-40D2-406A-AF66-6B67AC75B858} C:\Users\Pawel\AppData\Local\Google C:\Users\Pawel\AppData\Roaming\TSv C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa (2).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Metric Collection SDK 35;u Klik w Run Script. Zmień rozszerzenie wynikowego pliku na zoek-results.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i zoek-results.txt. Potwierdź ustąpienie problemów.

Wszystko zrobione. Aczkolwiek jest jedna rozbieżność. Podałam by odinstalować starszą Java i rzeczywiście wpis już zniknął z listy odinstalowanych, ale nie zniknęły komponenty Java: nadal widać wpisy w rejestrze oraz aktywny proces aktualizatora Java. Pytaniem jest więc czy w międzyczasie nie doinstalowała się nowsza Java?

Usługę Centrum pomyślnie włączyłam w skrypcie FRST. Skoro ikona nadal się nie pojawia w zasobniku, to jeszcze załaduj taki oto fix: 1. Otwórz Notatbik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Wszystkie "Ważne" do zainstalowania bez zastanawiania się, a 6 opcjonalnych to zależy co to za aktualizacje, nie wiem przecież co Ci się pokazało.

Tak, należy uzupełnić wcześniejsze aktualizacje, wśród nich są także i te które są wymagane, by zaktualizować do wersji 8.1.

EDIT: Thunderpants, ten dodany plik "Addition.txt" nie pochodzi z Twojego systemu XP i go również usuwam - to pobrany skądś stary log pochodzący z jakiegoś 64-bitowego Windows 8. Proszę zrób porządnie logi z FRST wg instrukcji: KLIK. Mają powstać trzy pliki: FRST.txt, Addition.txt, Shortcut.txt. Nie zmieniaj nazw plikom, załaduj je w takiej formie jak powstały na dysku. A ten widoczny załącznik "FRST - Scan 01.txt " zostaw do wglądu, i powtarzam, to nie jest log z FRST tylko ze skanera MBAM.

Nie mogłam się zmobilizować do przejrzenia tego raportu Fixlog detalicznie pod kątem ewentualnego sprzątania bez formatu dysku, ale skoro tu wspominasz o formacie, to pole jest czyste. System został wyczyszczony z tej infekcji, nie jest ona aktywna i nie widać w raporcie żadnych plików mogących "odpalić" to ponownie, więc kopie niezaszyfrowanych danych spokojnie możesz wykonać. Na dysku zostawiłam celowo tylko poniższe pliki identyfikacyjne, na wypadek gdyby kopia zaszyfrowanych plików także była tworzona: 2015-11-28 19:03 - 2015-11-28 19:03 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_hsxottbuu.txt 2015-11-28 18:55 - 2015-11-28 18:55 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_xuhpkqgpk.txt 2015-11-25 01:00 - 2015-11-25 01:00 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_nmpdoewlf.txt 2015-11-25 00:43 - 2015-11-25 00:43 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_yyyucwcwq.txt 2015-11-25 00:20 - 2015-11-25 00:20 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_aqkrsuiyw.txt 2015-11-24 22:45 - 2015-11-24 22:45 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_klpaggvhb.txt 2015-11-24 12:50 - 2015-11-24 12:50 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_csfxgcblx.txt 2015-11-24 12:03 - 2015-11-24 12:03 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_kxwcwelnn.txt 2015-11-18 01:00 - 2015-11-18 01:00 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_pwernchkp.txt 2015-11-17 22:40 - 2015-11-17 22:40 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_gcorurqss.txt 2015-11-17 22:34 - 2015-11-17 22:34 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_yegjpxfqv.txt 2015-11-10 16:32 - 2015-11-10 16:32 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_asxfxisnf.txt 2015-11-10 13:59 - 2015-11-10 13:59 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_jiejemvpd.txt 2015-11-10 02:19 - 2015-11-10 02:19 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_fqvfmedqq.txt I dodatkowe uwagi: 1. Komputer brandowany przez Hewlett-Packard i mający multum firmowych integracji. Jeśli system będzie przywracany z Recovery HP, to zaraz po jego zrzuceniu pozbądź się przestarzałych programów typu: Adobe Flash Player ActiveX (wersja 11 była tu przypuszczalnie "out-of-box" do obsługi Centrum HP - wymaga wersji ActiveX pod Internet Explorer) i ewentualnie innych potencjalnych starych integracji Adobe, Bing Bar, Magic Desktop, Norton Internet Security (tu była wersja jadąca na sterownikach z 2011!), Norton Backup. 2. Specjalizowane programy zabezpieczające przed infekcjami szyfrującymi: KLIK.

Kopia pliku fixlog.txt jest w folderze C:\FRST\Logs. Dostarcz plik.

Temat przenoszę do działu Windows. System wygląda na drastycznie uszkodzony. FRST nie był nawet w stanie podmontować rejestru: notowalny w nagłówku problem z plikiem SYSTEM (dlatego log golutki i nie widać nic z zakresu usług / sterowników), ale czuć, że strzeliło też w SOFTWARE (te znaczniki ATTENTION to nie infekcja tylko uszkodzenia). Skoro nawet tak kompleksowa procedura jak "Odświeżanie" nie działa, to system ma kwalifikację na czystą instalację od zera z płyty DVD.

Na koniec usuń FRST z C:\Temp oraz folder C:\MATS utworzony przez deinstalator MS. Zastosuj też DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wszystko zostało wykonane. Kończymy. Skasuj folder C:\logi. Następnie zastosuj DelFix. Poza tym, zaktualizuj systemowy Internet Explorer, nawet jeśli z niego nie korzystasz.

Wszystko zostało wykonane, infekcje usunięte, teraz już tylko cyzelowanie. Kolejne poprawki: 1. Odinstaluj zbędny Adobe Flash Player 19 NPAPI, to wersja dla Firefox, którego tu nie ma. Przeinstaluj także Google Chrome od zera, gdyż było poszkodowane przez adware: Upewnij się, że nie masz włączonej synchronizacji, w razie czego wykonaj Opcję 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję Google Chrome: KLIK. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 3. Otwórz Notatnik i wklej w nim: S3 Steam Client Service; "C:\Program Files\Common Files\Steam\SteamService.exe" /RunAsService [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\found.000 RemoveDirectory: C:\ProgramData\Microsoft\Windows\WER\ReportArchive RemoveDirectory: C:\ProgramData\Microsoft\Windows\WER\ReportQueue RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\SmartWeb RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Tempfolder RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Microsoft\Feeds Cache RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Microsoft\Windows\WER\ReportArchive RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Microsoft\Windows\WER\ReportQueue RemoveDirectory: C:\Users\Aramejskie PsP\AppData\LocalLow\Company RemoveDirectory: C:\Users\Aramejskie PsP\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} RemoveDirectory: C:\Users\Aramejskie PsP\AppData\LocalLow\Sun\Java\Deployment\cache RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\ChromeUpdServeis RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\FoucnYbuiw RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\RunDir RemoveDirectory: C:\Windows\system32\dyka RemoveDirectory: D:\$RECYCLE.BIN Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v EnableFirewall /t REG_DWORD /d 0x1 /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\services\wuauserv /v ImagePath /t REG_EXPAND_SZ /d "^%systemroot^%\system32\svchost.exe -k netsvcs" /f Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v DisableSR /f CMD: attrib -h "C:\Users\Aramejskie PsP\AppData\Roaming\*" CMD: del /q "C:\Users\Aramejskie PsP\AppData\Roaming\*" CMD: del /q "C:\Users\Aramejskie PsP\AppData\Local\Apps\8df46qrdf.5r" CMD: del /q "C:\Users\Aramejskie PsP\Documents\4hw4w59.gv74" CMD: del /q "C:\Users\Aramejskie PsP\Documents\5l2s8j2.y6n" CMD: del /q "C:\Users\Aramejskie PsP\Documents\dq3tcem.8ww" CMD: del /q "C:\Users\Aramejskie PsP\Documents\w60odudr9n.r6z69" CMD: del /q "C:\Users\Aramejskie PsP\Documents\xq5xbo4u.cpn0" CMD: del /q "C:\Users\Aramejskie PsP\Downloads\9ylfu6o6.exe" CMD: del /q C:\Users\Public\Documents\2x1x7.1vele CMD: del /q C:\Users\Public\Documents\52l8z1b5.q9 CMD: del /q C:\Users\Public\Documents\558yr.thw2s CMD: del /q C:\Users\Public\Documents\hylj1cpv6o.x2t6g CMD: del /q C:\Users\Public\Documents\i1tdqm.9r CMD: del /q C:\Windows\system32\Giqdulti.ini CMD: del /q C:\Windows\system32\GiqdultiOff.ini CMD: del /q "C:\Windows\system32\Number of results" CMD: del /q D:\cn82hor.l4st CMD: ipconfig /flushdns CMD: sc config BITS start= auto CMD: sc config MpsSvc start= auto CMD: sc config WinDefend start= demand CMD: sc config wscsvc start= delayed-auto CMD: sc config wuauserv start= auto CMD: netsh advfirewall reset CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local\Google" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local\VirtualStore" Reg: reg query HKEY_CURRENT_USER\Software Reg: reg query HKEY_LOCAL_MACHINE\SOFTWARE Reboot: Plik zapisz pod nazwą fixlist.txt (tym razem nie trzeba w UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Popraw datę komputera. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Czy w Panelu sterowania masz ustawiony układ klawiatury Polski (Programisty) jako domyślny?

Problem z datą to pewnie problem sprzętowy, tzn. bateria BIOS padła i do wymiany. Na razie ustaw czas w Windows, by nowe logi FRST zrobione zostały z prawidłowego kontekstu czasowego (i będziesz musiał czas korygować przed uruchomieniem innych narzędzi). I tu jeszcze nie koniec sprzątania systemu, ale czekam na nowe logi. Zapomniałam poprzednio napisać, dorzuć mi jeszcze log z Farbar Service Scanner.

Poprzednie logi FRST były tworzone na systemie mającym poprawny czas, choć zauważyłam, że niektóre pliki mają strasznie stare datowanie, mimo że na pewno były tworzone świeżo, co sugerowało że data była cofana. Obecnie masz nieprawidłowy czas komputera, dlatego logi FRST pokazują masę zbędnych danych sprzed kilku lat: Ran by Aramejskie PsP (administrator) on ARABSKAPATELNIA (21-12-2007 00:06:57) Ustaw ponownie poprawny czas komputera i zrób nowe raporty FRST (FRST.txt + Addition.txt).

Prawie wszystkie akcje pomyślnie wykonane. Niemniej nadal w logu jest McAfee Security Scan Plus (aktywnie uruchomiony). Jaki błąd się pojawia podczas próby jego deinstalacji? Czy próbowałeś przy wyłączonym Comodo?

System jest w tragicznym stanie: masowo zainfekowany różnymi trojanami oraz adware (w tym patch pliku dnsapi.dll i infekcja ogólna DNS systemowych), programy zabezpieczające są zablokowane na bazie polityk oprogramowania, a Windows w ogóle nieaktualizowany. Niestety mam też niedobre wieści. Te pliki how_recover* oznaczają infekcję szyfrującą dane TeslaCrypt w najnowszym wariancie: KLIK. Twoje pliki zostały zaszyfrowane i mają obecnie rozszerzenie *.vvv. Plików nie da się odkodować.... Jedyne co będzie w mojej gestii, to usunięcie aktywnej infekcji i nabitych przez infekcję plików how_recover*. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [49408 2007-12-21] (Cherimoya Ltd) [File not signed] R2 ginoquci; C:\Users\Aramejskie PsP\AppData\Local\Temp\nsc1610.tmp [222208 2007-12-21] () [File not signed] R2 NetTcpHandler; C:\Users\Aramejskie PsP\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 nyneryxo; C:\Program Files\E8F0E980-1449267636-81DC-39F9-001D6007944C\hnsmB63D.tmp [134656 2015-12-04] () [File not signed] R2 roqenufe; C:\Program Files\E8F0E980-1449267636-81DC-39F9-001D6007944C\jnsv9AA4.tmp [307200 2015-12-04] () [File not signed] R2 SSFK; C:\Program Files\SFK\SSFK.exe [155280 2015-12-04] (TODO: ) R2 sypycuge; C:\Program Files\E8F0E980-1449267636-81DC-39F9-001D6007944C\knshF0DC.tmp [658432 2015-12-06] () [File not signed] R2 WindowsMangerProtect; C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe [344232 2015-12-04] (Sysinternals process Explorer) U2 avgsvc; "C:\Program Files\AVG\Framework\Common\avgsvcx.exe" [X] S3 cpuz134; \??\C:\Users\ARAMEJ~1\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] R1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] IFEO\mbam.exe: [Debugger] epdmfji.exe IFEO\mbamgui.exe: [Debugger] kxemabm.exe IFEO\MRT.exe: [Debugger] kgmnddmbzri.exe IFEO\Mrtstub.exe: [Debugger] cyduxutsugs.exe IFEO\rstrui.exe: [Debugger] gfscokwngcs.exe SecurityProviders: credssp.dll, AmzoygUjducc.dll HKLM\...\Run: [sound+] => "C:\Program Files\Sound+\Sound+.exe" HKLM\...\Run: [rec_en_77] => [X] HKLM\...\Run: [gmsd_pl_005010165] => [X] HKLM\...\Run: [gmsd_pl_005010167] => [X] HKLM\...\Run: [gmsd_pl_005010168] => [X] HKLM\...\Run: [NetworkChecker] => C:\Users\Aramejskie PsP\AppData\Roaming\Microsoft\Windows\Templates\venktp.exe [1064807 2015-12-06] () HKLM\...\Run: [gmsd_pl_005010169] => [X] HKLM\...\RunOnce: [upgmsd_pl_005010168.exe] => C:\Users\Aramejskie PsP\AppData\Local\gmsd_pl_005010168\upgmsd_pl_005010168.exe [3278512 2015-12-06] () HKLM\...\RunOnce: [Windows Update Engine] => C:\ProgramData\Windows Update Engine\3wgwegkm5a.exe [470528 2007-12-21] () HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM\...\Policies\Explorer\Run: [1245908319] => C:\ProgramData\msnos.exe [313856 2009-07-14] () HKLM\...\Policies\Explorer\Run: [638143719] => C:\ProgramData\msrbgbio.exe [102400 2009-07-14] () HKLM\...\Policies\Explorer\Run: [1876573201] => C:\ProgramData\msukbv.exe [162304 2007-12-21] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [Acronis] => C:\Users\Aramejskie PsP\AppData\Roaming\hvskb-bc.exe HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011arbaaa1z] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arbaaaa1z.exe [259072 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [djSaS011arbaaa1za13a1] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186117711\djSaS011arbaaaa1za13a1.exe [260608 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011arbaaa1za13a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arbaaaa1za13a.exe [260608 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011ar] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011ar.exe [259584 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011arh] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arh.exe [311808 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011arhaaa] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arhaaaa.exe [259072 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [djSaS01121za13a1a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611127711\djSaS011a12a13a1a.exe [262144 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [a12121zq] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186171411\854561araaq.exe [264192 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1ab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18623451\we1a12a13a1ab.exe [264192 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1abab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1862314511\we1a12a13a1abavb.exe [291840 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1abab1] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18623145111\we1a12a13a1abavb1.exe [290816 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [Windows Update Engine] => C:\ProgramData\Windows Update Engine\3wgwegkm5a.exe [470528 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [AQworks] => C:\Users\Aramejskie PsP\AppData\Local\AQworks\KB00258656.exe [167936 2007-12-21] (DVDVideoSoft Ltd.) HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [bcdsserv] => C:\Users\Aramejskie PsP\AppData\Roaming\Certnect\authesvc.exe HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [YbPack] => regsvr32.exe "C:\Users\Aramejskie PsP\AppData\Local\YbPack\jdlriwcn.dll" HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [YfkPack] => C:\Windows\System32\regsvr32.exe "C:\Users\Aramejskie PsP\AppData\Local\AQworks\fjxcixtq.dll" HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1abab1ab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1862314511111\we1a12a13a1abavb1ab.exe [309248 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1abab1a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186231451111\we1a12a13a1abavb1a.exe [313856 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011arbaaa1z] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arbaaaa1z.exe [259072 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011arhaaa] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arhaaaa.exe [259072 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [djSaS011arbaaa1za13a1] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186117711\djSaS011arbaaaa1za13a1.exe [260608 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011arbaaa1za13a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arbaaaa1za13a.exe [260608 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1ab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18623451\we1a12a13a1ab.exe [264192 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011ar] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011ar.exe [259584 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [djSaS01121za13a1a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611127711\djSaS011a12a13a1a.exe [262144 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011arh] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arh.exe [311808 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [a12121zq] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186171411\854561araaq.exe [264192 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1abab1] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18623145111\we1a12a13a1abavb1.exe [290816 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1abab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1862314511\we1a12a13a1abavb.exe [291840 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1abab1ab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1862314511111\we1a12a13a1abavb1ab.exe [309248 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1abab1a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186231451111\we1a12a13a1abavb1a.exe [313856 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\CurrentVersion\Windows: [Load] C:\PROGRA~2\msnos.exe HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\MountPoints2: {7a652b40-af4f-11dc-8934-806e6f6e6963} - G:\SETUP.EXE HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\Aramejskie PsP\AppData\Local\AQworks\gbkwevrv.dll ATTENTION! ====> ZeroAccess? CustomCLSID: HKU\S-1-5-21-4007559694-3794498742-1702077847-1002_Classes\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InprocServer32 -> C:\Users\Aramejskie PsP\AppData\Local\AQworks\gbkwevrv.dll () Startup: C:\Users\Aramejskie PsP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ST6UNST Uninstaller.LNK [2007-12-21] Task: {1CFF9393-2E8C-48B3-B7A5-89915CED6E8A} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files\RCP\RegCleanPro.exe Task: {357BF60E-CD5E-4B50-98FE-6C1808BBF87B} - System32\Tasks\{F5942225-B64B-4BF9-8AD3-03AAF9886671} => pcalua.exe -a "C:\Users\Aramejskie PsP\AppData\Roaming\yoursearching\UninstallManager.exe" -c -ptid=face Task: {7891D619-6EAC-412D-9BE3-DB0A22F57984} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files\RCP\RegCleanPro.exe Task: {7B557CA1-B408-4ADC-9C2F-6A1A95ABD941} - System32\Tasks\Girwhyka => C:\PROGRA~1\GROOVE~1\Ufigys.bat Task: {B9B624F2-8241-4A4E-9435-8C71AFCE2C44} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Aramejskie PsP\AppData\Local\SmartWeb\SmartWebHelper.exe Task: {C0122447-7E61-4BDB-8663-C9409ADCBA74} - System32\Tasks\{3ADE5C10-33C6-434A-9C82-ED0665008D25} => pcalua.exe -a "C:\Users\Aramejskie PsP\AppData\Roaming\mysites123\UninstallManager.exe" -c -ptid=amt Task: {FB162231-74F0-4380-B557-15299DC4BC27} - System32\Tasks\RegClean Pro => C:\Program Files\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mysites123.com/?type=sc&ts=1449266897&z=c393f8356b294b209f17ae0g2zdz0t0o0qfq0b1m2t&from=amt&uid=WDCXWD3200BEVT-60A23T0_WD-WXL1A90H1351H1351 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\Program Files\AVG RemoveDirectory: C:\Program Files\E8F0E980-1449267636-81DC-39F9-001D6007944C RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\Program Files\SFK RemoveDirectory: C:\Program Files\Wooden Seal RemoveDirectory: C:\Program Files\Common Files\Steam RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\CreativeAudio RemoveDirectory: C:\ProgramData\Tmp0x0x RemoveDirectory: C:\ProgramData\Windows Update Engine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Avg RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\AQworks RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Camera Plugin RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\CEF RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\E8F0E980-1449271314-81DC-39F9-001D6007944C RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\GeometryDash RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\gmsd_pl_005010168 RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Opera Software RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Steam RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\YbPack RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\BrowserMe RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\Certnect RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\mysites123 RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\NetService RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\shortCutStore RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\ProgramData\@system.temp C:\ProgramData\@system3.att C:\ProgramData\fb19r8t.2koqu C:\ProgramData\j3ymz.7yyn C:\ProgramData\jsvef3g8x0.e3s4r C:\ProgramData\mscxoz.exe C:\ProgramData\msnos.exe C:\ProgramData\msrbgbio.exe C:\ProgramData\msukbv.exe C:\ProgramData\oyqij0.4x C:\ProgramData\y16w2.s1 C:\ProgramData\zj63ef.ej2 C:\Users\Aramejskie PsP\AppData\Local\4zsfk3.0b C:\Users\Aramejskie PsP\AppData\Local\541g3q.2o5 C:\Users\Aramejskie PsP\AppData\Local\Apps\barldt9b.05u C:\Users\Aramejskie PsP\AppData\Roaming\½Ó C:\Users\Aramejskie PsP\AppData\Roaming\Microsoft\Windows\Templates\venktp.exe C:\Windows\system32\AmzoygUjducc.dll C:\Windows\system32\Giqdulti.dll C:\Windows\system32\history.dat C:\Windows\system32\roboot.exe C:\Windows\System32\drivers\cherimoya.sys C:\Windows\system32\drivers\etc\hp.bak CMD: netsh winsock reset CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s C:\HELP_YOUR_FILES* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s D:\HELP_YOUR_FILES* /s CMD: del /q /s C:\how_recover* CMD: del /q /s C:\HELP_YOUR_FILES* CMD: del /q /s D:\how_recover* CMD: del /q /s D:\HELP_YOUR_FILES* CMD: dir /a C:\ CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\LocalLow" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Roaming" CMD: dir /a D:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom RepairDNS. Poczekaj aż narzędzie ukończy działanie. Powstanie raport RepairDNS.txt. 3. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) - ponownie z Addition, ale bez Shortcut - oraz GMER. Dołącz też pliki fixlog.txt + RepairDNS.txt. Przy czym fixlog będzie ogromny ze względu na rekursywne usuwanie z wszystkich dysków plików infekcji. W związku z tym shostuj ten plik na jakimś zewnętrznym serwisie nie-wklejkowym i podaj do niego link. PS. Odpowiadasz mi już w nowym poście.

Problem w Google Chrome tworzą polityki blokujące jakieś funkcje przeglądarki oraz rozszerzenie Quick Menu kojarzone z przymusowymi instalacjami. Poza tym, widać odpadki innych śmieci adware (usługa "MustangService_2015_10_10" i zadania w Harmonogramie). Wszystko to pokłosie prawdopodobnie "Asystentów pobierania": KLIK. STOPzilla! to wątpliwy skaner, nie instaluj go już więcej. To akurat nie jest nic zadziwiającego. Magazyn kopii cieniowych ma ograniczone miejsce i system usuwa starsze punkty, by nowe się zmieściły. Fixlist to jedynie część procesu rozwiązywania problemów. Akcje do przeprowadzenia: 1. Odinstaluj: Adobe Flash Player 19 NPAPI (to wersja dla nieistniejącego tu Firefox), Java 8 Update 45 (starsza wersja). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer26.exe [236816 2015-10-09] (MustangService) S0 is3srv; system32\drivers\is3srv.sys [X] S0 szkg5; system32\drivers\szkg.sys [X] S0 szkgfs; system32\drivers\szkgfs.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [oggihoncmelambjaefiboekididcaffe] - C:\Users\Lucynka\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx [2015-10-29] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1756971717-903987818-1331759138-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1756971717-903987818-1331759138-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Task: {1C3D8A9F-6C3F-4A46-9CAE-40F0CFBED781} - System32\Tasks\EasyProgress => c:\programdata\{844fa4f1-2bb1-d59c-844f-fa4f12bb93c4}\driver 3.exe Task: {4E3DE2F3-E71A-495C-B866-C74C6B93A6B9} - System32\Tasks\MagicKeeper => c:\programdata\{8633d1fd-ea70-b2f5-8633-3d1fdea747f7}\5254392802355984628b.exe Task: {57309A81-84A7-45B9-BBE2-81D8C5DCEFC2} - System32\Tasks\SizeFixer => c:\programdata\{26c77064-ad4b-edcf-26c7-77064ad4c192}\9168102286225661756b.exe Task: {7B57F7DA-0C9A-4646-9E8C-D0C2D059D68A} - System32\Tasks\DataEncrypt => c:\programdata\{b87b28c2-ddab-3b9e-b87b-b28c2ddaa30b}\2887833614186346724b.exe Task: C:\Windows\Tasks\DataEncrypt.job => c:\programdata\{b87b28c2-ddab-3b9e-b87b-b28c2ddaa30b}\2887833614186346724b.exe Task: C:\Windows\Tasks\EasyProgress.job => c:\programdata\{844fa4f1-2bb1-d59c-844f-fa4f12bb93c4}\driver 3.exe Task: C:\Windows\Tasks\MagicKeeper.job => c:\programdata\{8633d1fd-ea70-b2f5-8633-3d1fdea747f7}\5254392802355984628b.exe Task: C:\Windows\Tasks\SizeFixer.job => c:\programdata\{26c77064-ad4b-edcf-26c7-77064ad4c192}\9168102286225661756b.exe HKU\S-1-5-21-1756971717-903987818-1331759138-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-1756971717-903987818-1331759138-1000\Software\Classes\exefile: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f C:\ProgramData\STOPzilla! C:\ProgramData\TempMoudleSet C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MgameEU C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Lucynka\AppData\Local\Microsoft\Windows\GameExplorer\{966E0570-968F-43C2-B2A5-307A6668962E} C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyHeritage.com C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Okozo Desktop C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Windows\system32\Drivers\kgpcpy.cfg DisableService: Mobile Partner. RunOuc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > upewnij się, że zniknął obiekt Quick Menu. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, więc ponownie je aktywuj. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy zostały rozwiązane.

To nie jest problem infekcji. 1. Temat przenoszę do działu Hardware na diagnostykę ze względu na poniższe błędy w Dzienniku zdarzeń. Dostarcz dane wymagane działem: KLIK. Dziennik System: ============= Error: (12/08/2015 12:51:17 PM) (Source: Ntfs) (EventID: 137) (User: ) Description: Domyślny menedżer zasobów transakcji w woluminie \Device\HarddiskVolumeShadowCopy1 napotkał błąd niepowtarzający operacji i nie można go uruchomić. Dane zawierają kod błędu. Error: (12/08/2015 12:51:17 PM) (Source: volsnap) (EventID: 14) (User: ) Description: Kopie w tle woluminu C: zostały przerwane z powodu usterki We/Wy w woluminie C:. Error: (12/08/2015 12:51:12 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. 2. Problem z wolną pracą może też tworzyć COMODO Antivirus + GeekBuddy i to można sprawdzić tymczasowo deinstalując te aplikacje. PS. W Firefox jest adware, ale to nie ma związku z objawami. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania.

Czy po usunięciu sterownika Hardlock jest jakaś poprawa w procesie startu systemu? Czy są jeszcze jakieś problemy? Fix FRST wykonany. Skorzystaj z DelFix.

Deinstalacja KB3035583 usuwa notyfikator GWX, więc nie ma prawa się już zgłosić na błędzie, o ile z Windows Update ponownie nie zostanie zainstalowana ta sama poprawka. Jak mówiłam, to tylko przykrycie problemu, a nie jego rozwiązanie. Pozostaje również sprawa samej aktualizacji do Windows 10. Można będzie ją zrobić z pominięciem Windows Update: KLIK / KLIK / KLIK. Fix wykonany. Zastosuj DelFix i to tyle w tym zakresie.

Zacznij wyłączać partiami wpisy w ShellExView, aż wyłowisz wpis który tworzy problem, po każdej deaktywacji restart systemu. Zacznij od wyłączenia SHAREit.FileContextMenuExt Class Lenovo + restart systemu. W przypadku braku rezultatów kontynuuj wyłączając wszystkie wpisy typu TheDeskTopContextMenu Class Intel oraz McCtxFrmWrk Class McAfee. Ostatnim delikwentem na liście jest WinRAR i jakoś najmniej go podejrzewam.