picasso

Tu należy podejrzewać antywirusa. Podobny temat z forum: KLIK. Wieszanie GMER na określonym skanie nie oznacza, że ten obiekt jest uszkodzony lub coś z nim nie tak. Skan GMER nie zawsze się uda, jest wiele przyczyn dla tego zachowania, wliczając specyficzną konfigurację sprzętowo-systemową. To faza "sprzętowa", ładowanie sterowników Windows. Ten pasek jest normalny, u mnie był zawsze widoczny. Tym szybciej przelatuje, im szybciej ładowane komponenty systemu. Jeśli wcześniej tego paska nie widziałeś, to jedno z dwóch: - Miałeś wyłączone pokazywanie tego ekranu (msconfig > Rozruch > Rozruch bez interfejsu GUI). To nie przyśpiesza ładowania, tylko ukrywa ekran. - Wcześniej ładowanie było o wiele szybsze. Jedyne co tu się kojarzy z tym efektem, to te dwa błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (12/02/2015 00:38:14 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Hardlock z powodu następującego błędu: %%577 Error: (12/01/2015 04:28:35 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Ten pierwszy błąd punktuje bardzo stary sterownik (załączyłam go do skryptu FRST). Ten drugi błąd, o ile to nie jest wynik skanu GMER, kwalifikuje się do działu Hardware. PS. Do wykonania tylko drobne kosmetyczne działania: 1. Błąd WMI numer 10 usunie narzędzie Fix-it: KLIK. 2. Usunięcie w/w sterownika oraz wpisów pustych i wybrakowanych skrótów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Hardlock; C:\Windows\system32\drivers\hardlock.sys [296448 2005-06-14] (Aladdin Knowledge Systems Ltd.) [brak podpisu cyfrowego] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvkflt; system32\DRIVERS\nvkflt.sys [X] S4 nvpciflt; \SystemRoot\system32\DRIVERS\nvpciflt.sys [X] HKU\S-1-5-21-3195291957-1564524796-3624665937-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-3195291957-1564524796-3624665937-1000\...\Policies\Explorer: [HideSCAPower] 0 HKU\S-1-5-21-3195291957-1564524796-3624665937-1000\...\MountPoints2: {32447869-d061-11e3-aae9-028037ec0200} - G:\Setup.exe ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia Task: {ADA3679E-01DD-40A4-903D-663C6FE5E8F3} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {DEDD46EC-7EEB-431B-8832-7AB7C1A3EFDA} - System32\Tasks\{90A63E64-03D0-4032-9F1C-CF9323D0E39C} => pcalua.exe -a d:\Users\T9\Desktop\TagesSetup.exe -d d:\Users\T9\Desktop C:\ProgramData\Microsoft\Windows\GameExplorer\{D8FCD0C1-935E-4B49-9C72-AFD7C3F9C0C8} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMB C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warcraft Public Test C:\Users\T9\AppData\Local\Microsoft\Windows\GameExplorer\{0C2590B5-AA23-40F7-98C2-37F8C56C42BE} C:\Users\T9\AppData\Local\Microsoft\Windows\GameExplorer\{3F9EDECB-9483-43C4-AA0A-DC8F3DCAC81F} C:\Users\T9\AppData\Local\Microsoft\Windows\GameExplorer\{C1F93E2D-B595-4B8A-9FA9-C5E677104916} C:\Users\T9\AppData\Local\Microsoft\Windows\GameExplorer\{F3F9A695-B175-484A-997C-22C69C3513F2} C:\Users\T9\AppData\Local\Shareaza C:\Users\T9\Desktop\Graj w Commandos3 - Destination Berlin.lnk C:\Users\T9\Desktop\Yamb.lnk C:\Users\T9\Desktop\ˢ»úרĽŇ(׿´óʦ).lnk C:\Windows\system32\drivers\hardlock.sys CMD: netsh advfirewall reset Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

1. Czy masz na myśli aktualizację do Windows 10, która się nie udaje? 2 + 4 + 5: Widać w systemie liczne infekcje i rozmaite śmieci. Poza tym, w Google Chrome jest rozszerzenie "Google Quick Scroll" kojarzone z niechcianymi instalacjami. 3. Problemem jest brak ustawionej domyślnej przeglądarki. Wstępne akcje do przeprowadzenia: 1. Odinstaluj: - Adware i wątpliwe programy: pdfforge Toolbar v7.0, Reimage Protector, SpyHunter 4. - Stare wersje i zbędniki: Adobe AIR, DivX-Setup, Java 8 Update 31, JetClean, Microsoft Silverlight, MozBackup 1.4.6 PL, Mozilla Maintenance Service, OpenSource Flash Video Splitter 1.0.0.5, Opera 12.17, QuickTime, Real Alternative 2.0.2, RealPlayer, Spelling Dictionaries Support For Adobe Reader 9, Podstawowe programy Windows Live, Windows Live ID-Anmelde-Assistent, Windows Live Sync, Windows Live-Uploadtool, Xvid Video Codec. Deinstalacja starych wersji jest pod kątem nie wykonanej jeszcze aktualizacji do Windows 10. Jeśli coś nie będzie widoczne lub nie będzie się dało odinstalować, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0073858B-0D38-48F4-BB85-46E20FBDC2FC} - \gtaUpt -> Keine Datei Task: {171CE39A-6D3B-426F-B54D-7F37F358C72E} - System32\Tasks\WinKit => C:\Users\Aneczka\AppData\Roaming\PlusN\GUP.exe [2015-11-09] (Don HO don.h@free.fr) Task: {1F22BC25-917B-42D7-8F1B-B12DAD36AD57} - System32\Tasks\PC Health Advisor => C:\Program Files (x86)\ParetoLogic\PCHA\PCHA.exe Task: {46F8B86B-9CC4-4F58-9457-9592F94A7BD7} - System32\Tasks\mdb01 => C:\Users\Aneczka\AppData\Roaming\orlando\Vipp\mbd.exe [2015-10-23] () Task: {4DE2ABB1-CCBD-4055-85E1-A27D4B61B0C2} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2014-12-08] () Task: {590B58E5-6895-4CF0-A2FD-BF31044938F0} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Program Files (x86)\BlueSprig\JetClean\AutoUpdate.exe [2013-05-14] (BlueSprig) Task: {59F6E683-3E9F-4873-8BA7-A9CA0E1FFCB8} - \RocketTab -> Keine Datei Task: {613D5CE6-78C7-40EC-90E8-FFD35334A516} - \System Speedup_UPDATES -> Keine Datei Task: {675D4185-FB3A-4947-900C-5B92FAE9F316} - System32\Tasks\ParetoLogic Registration3 => Rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns Task: {6EB773C7-FA3F-46EE-9E56-2398E47BE345} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2014-12-08] () Task: {712C6861-2B14-4E72-92BA-22B6921FE2B7} - System32\Tasks\Microsoft\Windows\Wired\GatherWiredInfo => C:\Windows\system32\gatherWiredInfo.vbs Task: {891315E1-D95A-42EC-8157-120EF99C0972} - System32\Tasks\mdb => C:\Users\Aneczka\AppData\Roaming\orlando\Vipp\mbd.exe [2015-10-23] () Task: {89771B10-8968-489F-B59B-7646B462895A} - \Desk 365 RunAsStdUser -> Keine Datei Task: {8982FEEC-1D23-4E78-8DB3-6D7D63E82E03} - \MySearchDial -> Keine Datei Task: {93E7D473-BA57-4D47-8A79-3E157EAEE576} - \RocketTab Update Task -> Keine Datei Task: {99D95E0B-E455-4405-A024-9DFCD656527D} - \System Speedup_DEFAULT -> Keine Datei Task: {9E179F6F-BECC-49F1-AAF0-1212957A5E18} - System32\Tasks\2pP => C:\ProgramData\Convertor\Convertor.exe [2015-11-09] (Don HO don.h@free.fr) Task: {AFB263F6-4394-44BF-B471-B042EA056835} - System32\Tasks\PC Health Advisor Defrag => C:\Program Files (x86)\ParetoLogic\PCHA\PCHA.exe Task: {B678A274-9B2C-4698-AFDB-190F66DDF4AD} - \ASP -> Keine Datei Task: {B7A1380D-B95B-4D0A-828B-1ABA98F349D4} - \avaavxvyex -> Keine Datei Task: {CE5CA601-2210-4F3D-BD28-5ADFEA0C1C48} - System32\Tasks\DriverMgr => C:\Users\Aneczka\AppData\Roaming\VETbdu2e2k\rinti.exe [2015-11-09] () Task: {DC4A6D1E-BD8E-4296-A073-59AAB7C3770C} - \YourFile DownloaderUpdate -> Keine Datei Task: {E91D6474-70CC-42BE-80FF-8BED8AF557ED} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\system32\gatherWirelessInfo.vbs Task: {EA9BC20D-226C-49CE-8CF9-BAB09CE73674} - \SomotoUpdateCheckerAutoStart -> Keine Datei Task: {EDD078BA-ADFC-4089-A2A3-2925D902C910} - \SmartWeb Upgrade Trigger Task -> Keine Datei Task: {FFC2D133-D052-4EBA-A513-D6F2212D769F} - System32\Tasks\recoveredfiles => C:\Users\Aneczka\AppData\Local\recoveredfiles\autochr.exe Task: C:\Windows\Tasks\ParetoLogic Registration3.job => C:\Windows\system32\rundll32.exeGC:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe Task: C:\Windows\Tasks\PC Health Advisor Defrag.job => C:\Program Files (x86)\ParetoLogic\PCHA\PCHA.exe Task: C:\Windows\Tasks\PC Health Advisor.job => C:\Program Files (x86)\ParetoLogic\PCHA\PCHA.exe AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll => Keine Datei HKLM\...\AppCertDlls: [windows_service_for_control_application_23139093481232] -> C:\Users\Aneczka\AppData\Local\Hoffer\advapi.dll [104960 2015-10-30] () HKU\S-1-5-18\...\Run: [bitdefender-Geldbörse-Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender-Geldbörse] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender-Geldbörse-Anwendungs-Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> R2 Printer Control; C:\Windows\system32\PrintCtrl.exe [121856 2012-10-21] (ActMask Co.,Ltd - hxxp://WWW.ALL2PDF.COM) [Datei ist nicht signiert] S0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-04-14] (Duplex Secure Ltd.) U2 ccEvtMgr; kein ImagePath U2 ccSetMgr; kein ImagePath S3 cpuz134; \??\C:\Users\Aneczka\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 FLEXnet Licensing Service; "C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe" [X] S2 HPSLPSVC; C:\Users\Aneczka\AppData\Local\Temp\7zS4A97\hpslpsvc64.dll [X] S1 innfd_1_10_0_13; system32\drivers\innfd_1_10_0_13.sys [X] S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X] S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X] S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X] U3 navapsvc; kein ImagePath S2 nixikubi; C:\Users\Aneczka\AppData\Roaming\34323030-1427980481-4438-4133-4643FFFFFFFF\jnsj2B24.tmp [X] S1 SASDIFSV; \??\C:\Users\Aneczka\AppData\Local\Temp\SAS_SelfExtract\SASDIFSV64.SYS [X] S1 SASKUTIL; \??\C:\Users\Aneczka\AppData\Local\Temp\SAS_SelfExtract\SASKUTIL64.SYS [X] U3 SAVRT; kein ImagePath U1 SAVRTPEL; kein ImagePath U3 TlntSvr; kein ImagePath S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] GroupPolicy: Beschränkung - Chrome CHR HKLM\SOFTWARE\Policies\Google: Beschränkung CHR HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\SOFTWARE\Policies\Google: Beschränkung CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=de-de CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C" CHR Session Restore: Default -> ist aktiviert. HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849489367794355&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849489367794355&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C&q={searchTerms} HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849489392130397&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C HKU\S-1-5-21-1280836393-1798441447-3805755999-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1428696794&from=cor&uid=395049983_1052514_243E1C7C&q={searchTerms} SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {13405F5E-08CD-815E-B115-74F3333C6226} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=164&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=tugumsd&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0Dzz0D0AtA0F0CtC0CyB0CtN0D0Tzu0CyCyEtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu2Z2Y1N2Y1H1B1Q&cr=527567552&ir= SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {2AD6CAF7-5D33-6D19-500C-703533C5DBD7} URL = hxxp://feed.snapdo.com/?publisher=Tuguu&dpid=Tuguu&co=DE&userid=33206d1d-5c13-0724-0f0d-bb11db49a596&searchtype=ds&q={searchTerms}&installDate=19/09/2013 SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> DefaultScope {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> URL hxxp://search.conduit.com/Results.aspx?ctid=CT3326313&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SP23423F7D-6F47-4AF5-954C-A3E22F698EB7&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=SL5MDF&PC=SL5M&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {13405F5E-08CD-815E-B115-74F3333C6226} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052514_243E1C7C&ts=1428066817&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052514_243E1C7C&ts=1428066817&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052514_243E1C7C&ts=1428066817&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> {F258B836-E083-4868-98D4-A1B262C64E34} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=395049983_1052514_243E1C7C&ts=1428066817&type=default&q={searchTerms} BHO: adTech Class -> {934B156A-3D17-3981-B78A-5C138F423AD6} -> C:\Users\Aneczka\AppData\Roaming\pdfie\PdfConv_64.dll [2015-11-09] () BHO-x32: Kein Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> Keine Datei BHO-x32: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei BHO-x32: adTech Class -> {934B156A-3D17-3981-B78A-5C138F423AD6} -> C:\Users\Aneczka\AppData\Roaming\pdfie\PdfConv_32.dll [2015-11-09] () BHO-x32: pdfforge Toolbar -> {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Keine Datei Toolbar: HKLM - Kein Name - !{95B7759C-8C7F-4BF1-B163-73684A933233} - Keine Datei Toolbar: HKLM - Kein Name - !{B922D405-6D13-4A2B-AE89-08A030DA4402} - Keine Datei Toolbar: HKLM-x32 - Kein Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - Keine Datei Toolbar: HKLM-x32 - Kein Name - !{95B7759C-8C7F-4BF1-B163-73684A933233} - Keine Datei Toolbar: HKLM-x32 - Kein Name - !{B922D405-6D13-4A2B-AE89-08A030DA4402} - Keine Datei Toolbar: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> Kein Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Keine Datei Toolbar: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Keine Datei DPF: HKLM-x32 {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab DPF: HKLM-x32 {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} hxxp://quickscan.bitdefender.com/qsax/qsax.cab DPF: HKLM-x32 {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} DPF: HKLM-x32 {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} hxxp://ax.emsisoft.com/emsisoft_webscan.cab DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab DPF: HKLM-x32 {E6BB2089-163F-466B-812A-748096614DFD} hxxp://cainternetsecurity.net/scanner/cascanner.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\*.tmp C:\Program Files (x86)\Addons C:\Program Files (x86)\Application Updater C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\ParetoLogic C:\Program Files (x86)\Common Files\ParetoLogic C:\ProgramData\*.bdinstall.bin C:\ProgramData\Convertor C:\ProgramData\iolo C:\ProgramData\ParetoLogic C:\ProgramData\Reimage Protector C:\ProgramData\TEMP C:\Users\Aneczka\AppData\Local\*.vbs C:\Users\Aneczka\AppData\Local\ars.cache C:\Users\Aneczka\AppData\Local\census.cache C:\Users\Aneczka\AppData\Local\curl.zip C:\Users\Aneczka\AppData\Local\housecall.guid.cache C:\Users\Aneczka\AppData\Local\34323030-1427987883-4438-4133-4643FFFFFFFF C:\Users\Aneczka\AppData\Local\AppRunner C:\Users\Aneczka\AppData\Local\F-Secure C:\Users\Aneczka\AppData\Local\Hoffer C:\Users\Aneczka\AppData\Local\Mozilla C:\Users\Aneczka\AppData\Local\Pro_PC_Cleaner C:\Users\Aneczka\AppData\Local\recoveredfiles C:\Users\Aneczka\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Aneczka\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Aneczka\AppData\Local\Microsoft\BingSvc C:\Users\Aneczka\AppData\Local\Microsoft\Windows\GameExplorer\{AF89CA0B-0C23-404B-9FCC-8F90497A77BA} C:\Users\Aneczka\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Aneczka\AppData\Roaming\5.exe C:\Users\Aneczka\AppData\Roaming\CRUNBHCI C:\Users\Aneczka\AppData\Roaming\1q3CK C:\Users\Aneczka\AppData\Roaming\34323030-1427980481-4438-4133-4643FFFFFFFF C:\Users\Aneczka\AppData\Roaming\34323030-1428070483-4438-4133-4643FFFFFFFF C:\Users\Aneczka\AppData\Roaming\4U0S C:\Users\Aneczka\AppData\Roaming\5wBdDex C:\Users\Aneczka\AppData\Roaming\9Xac9 C:\Users\Aneczka\AppData\Roaming\AgBTYyJek C:\Users\Aneczka\AppData\Roaming\cgqmdAei C:\Users\Aneczka\AppData\Roaming\charts C:\Users\Aneczka\AppData\Roaming\Convertor C:\Users\Aneczka\AppData\Roaming\Fbjiy C:\Users\Aneczka\AppData\Roaming\gkebH C:\Users\Aneczka\AppData\Roaming\h0j4sZIrb C:\Users\Aneczka\AppData\Roaming\iolo C:\Users\Aneczka\AppData\Roaming\izC0J5a C:\Users\Aneczka\AppData\Roaming\jellylam C:\Users\Aneczka\AppData\Roaming\Mozilla C:\Users\Aneczka\AppData\Roaming\NewNotepad C:\Users\Aneczka\AppData\Roaming\orlando C:\Users\Aneczka\AppData\Roaming\ParetoLogic C:\Users\Aneczka\AppData\Roaming\PBkG C:\Users\Aneczka\AppData\Roaming\pdfie C:\Users\Aneczka\AppData\Roaming\PEyLasK C:\Users\Aneczka\AppData\Roaming\PlusN C:\Users\Aneczka\AppData\Roaming\SoftAd C:\Users\Aneczka\AppData\Roaming\TINIM0rMk C:\Users\Aneczka\AppData\Roaming\UFatv9yZFkK C:\Users\Aneczka\AppData\Roaming\VETbdu2e2k C:\Users\Aneczka\AppData\Roaming\Winsta C:\Users\Aneczka\AppData\Roaming\WinKit C:\Users\Aneczka\AppData\Roaming\z1hMq C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\PrintCtrl.exe C:\Windows\system32\Drivers\aebuwkpl.sys C:\Windows\system32\Drivers\bkydbujg.sys C:\Windows\system32\Drivers\sptd.sys C:\Windows\system32\Drivers\qeikxjrt.sys C:\Windows\system32\Drivers\ucxdzjdo.sys Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Aneczka\AppData\Local CMD: dir /a C:\Users\Aneczka\AppData\LocalLow CMD: dir /a C:\Users\Aneczka\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bing, Google Quick Scroll, Mehr Leistung und Videoformate für dein HTML5 , RealPlayer HTML5Video Downloader Extension, o ile nadal będą widoczne po przeprowadzonych akcjach. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. MaxthonNie jest skanowany przez FRST, więc sprawdź ręcznie co widać w ustawieniach i rozszerzeniach.Ustaw wybraną przeglądarkę jako domyślna z poziomu jej opcji. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Aneczka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Untersuchen (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy tu jeszcze występują.

Tak, to już wszystko. Temat rozwiązany. Zamykam.

Na zakończenie: 1. Dokasuj folder odpadkowy: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Essentials Codec Pack. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Nadal widzę starą instalację Java™ 7 Update 5 (64-bit), która miała być odinstalowana. To nadal do wykonania. Jeśli komunikat zapewniał, że dane już zostały wyczyszczone.

1. Skrypt FRST wprawdzie wykonany, ale nie odinstalowałeś sponsorowanego paska AVG SafeGuard toolbar oraz starego Adobe Shockwave Player 11.6. To do zrobienia w pierwszej kolejności, bo narzędzie zadane w kolejnym punkcie zacznie usuwać ten pasek na siłę i powstanie więcej śmieci. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Falstart, skrypt w ogóle nie wykonał się. Otwórz plik Fixlog i porównaj z formatowaniem w moim poście. Zapisałeś plik w taki sposób, że wszystkie linie zostały sklejone. Przejścia do nowej linii muszą być identyczne jak w moim poście. Powtarzaj zadanie.

Kończymy: Skasuj folder C:\Users\User\Downloads\frst. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. Ostatnia poprawka. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1657043038-3288557173-2309702434-1002\...\Run: [GameXN GO] => "C:\ProgramData\GameXN\GameXNGO.exe" /startup DeleteKey: HKCU\Software\Conduit DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\V9 DeleteKey: HKCU\Software\Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi DeleteKey: HKLM\SOFTWARE\Wow6432Node\Conduit DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\omniboxesSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWindowsMangerProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9 DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\dream.capture.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\dream.capture DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{117270FA-48AC-45BB-9171-B63D1B42A910} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{B0660298-91AA-421F-BF0D-BFF6BB8BF3AE} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\iSafeKrnlMon RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\9WinManPro9 RemoveDirectory: C:\Users\Krzysiek\AppData\Local\13407 RemoveDirectory: C:\Users\Krzysiek\AppData\Local\vghd RemoveDirectory: C:\Users\Krzysiek\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Krzysiek\Downloads\tsggg7g3.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. I jeszcze na koniec pobierz najnowszą wersję FRST i zrób nowy log FRST (bez Addition + Shortcut).

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: Task: {B2B679A8-EB4F-44B9-A813-6912DBC6ED47} - System32\Tasks\{EC8325B5-6AA4-4329-A017-954574DE9712} => pcalua.exe -a C:\Users\Damian\Desktop\Setup-TrojanKiller-DM.exe -d C:\Users\Damian\Desktop Task: {EF7E523F-B954-4E9F-8880-CBB7AD387AF9} - System32\Tasks\{BBBF2650-07A4-48A0-8176-087D5C28FCAC} => pcalua.exe -a C:\Users\Damian\Desktop\jre-8u66-windows-i586-iftw.exe -d C:\Users\Damian\Desktop DeleteKey: HKCU\Software\Classes\pokki DeleteKey: HKCU\Software\InstalledBrowserExtensions DeleteKey: HKCU\Software\Softonic DeleteKey: HKCU\Software\tstamptoken DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\Solvusoft DeleteKey: HKLM\SOFTWARE\SOUNDPLUS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\ShopperPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Reimage DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Reimage Repair DeleteKey: HKU\S-1-5-18\Software\GeekBuddyRSP DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Elex-tech RemoveDirectory: C:\Program Files\AdTrustMedia RemoveDirectory: C:\ProgramData\GridinSoft RemoveDirectory: C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\elicpjhcidhpjomhibiffojpinpmmpil RemoveDirectory: C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\jq1wfeqx.default RemoveDirectory: C:\Windows\system32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Na zakończenie: 1. Przez SHIFT+DEL (omija Kosz) usuń ręcznie folder C:\MATS oraz pobrany GMER. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W Harmonogramie zadań ostało się szkodliwe zadanie "ScourersConstituentlyV2" produkujące te objawy. Akcje do przeprowadzenia: 1. Odinstaluj starą wersję Adobe Reader 9.5.0 - Polish. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {77C48032-8F66-4FFD-94D8-2B3771B12D9E} - System32\Tasks\ScourersConstituentlyV2 => Rundll32.exe SuperscribedUltrasonic.dll,main 7 1 Task: {CD9DCB43-C9EF-4BF2-9E3B-2D5839F70C2C} - System32\Tasks\{FA9DFFE5-06BA-47C9-8E01-38D0F92E00BA} => pcalua.exe -a C:\Users\Artur\AppData\Local\Temp\Temp1_VIA_Win7-64_Win7(V7500F_HDMI).zip\Win7-64_Win7(V7500F_HDMI)\SETUP.EXE C:\Users\Artur\AppData\Local\ScourersConstituently C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Artur\AppData\Roaming\WarThunder C:\Users\Artur\Desktop\WarThunder.lnk Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Wszystkie skróry LNK przeglądarek zostały zmodyfikowane. Poza tym, jest nadal zainstalowane adware "Style Call" globalnie oraz w Firefox. I używałeś lewy skaner SpyHunter. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware Style Call. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ginoquci; C:\Users\olijacek\AppData\Local\Temp\nsx897C.tmp [222208 2015-12-01] () [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-02] () ShortcutWithArgument: C:\Users\olijacek\Desktop\Osoba 1 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\Users\olijacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\Users\olijacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\Users\olijacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\Users\olijacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\Users\olijacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\Users\olijacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\Users\olijacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WXH1AB0X5726_WDCWD2500BEVT-75A23T0&tm=1449053556 GroupPolicyScripts: Ograniczenia CMD: netsh advfirewall reset CMD: type "C:\Program Files (x86)\mozilla firefox\defaults\pref\!46419D7AEC293DB000634C176D2287784641.js" FF HKLM\...\Firefox\Extensions: [{660E81F8-578D-4183-889B-59BABDD4127B}] - C:\Program Files\groover011220151423\Firefox\{660E81F8-578D-4183-889B-59BABDD4127B}.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{660E81F8-578D-4183-889B-59BABDD4127B}] - C:\Program Files\groover011220151423\Firefox\{660E81F8-578D-4183-889B-59BABDD4127B}.xpi => nie znaleziono FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!46419D7AEC293DB000634C176D2287784641.js [2015-12-02] C:\Program Files\Enigma Software Group C:\Program Files (x86)\Opera C:\uninst C:\Users\olijacek\AppData\Local\nshB6DA.tmp C:\Users\olijacek\AppData\Local\Avg C:\Users\olijacek\AppData\Local\AvgSetupLog C:\Users\olijacek\AppData\Local\Style Call C:\Users\olijacek\AppData\Local\Tempfolder C:\Users\olijacek\AppData\Local\Touch Download C:\Users\olijacek\AppData\LocalLow\Company C:\Users\olijacek\AppData\Roaming\Opera Software C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\system32\pyk C:\Windows\SysWOW64\history.dat C:\Windows\SysWOW64\Number of results EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Skróty LNK przeglądarek i niektórych gier zostały zmodyfikowane (mają dopisane otwieranie tytułowej strony), poza tym szkodliwe zadania w Harmonogramie. Proszę o opisanie co zrobiono i dostarczenie nowych raportów FRST to udawadniających.

Mnie chodziło o coś innego: dobrze że link wstawiony, ale logi miały być dostarczone tu na forum, a nie odwołanie tylko do logów tam. Na przyszłość na temat pobierania z dobryprogramów, bo był tu w obrotach "Asystent pobierania": KLIK. Wygląda na to, że problem tworzą te dwa szkodliwe zadania w Harmonogramie: ==================== Zaplanowane zadania (filtrowane) ============= Task: {045A9D10-B025-4562-9A25-217055FC1559} - System32\Tasks\TankUnreplacedV2 => Rundll32.exe SinterRecondition.dll,main 7 1 Task: {FE675972-8F42-4DB1-9509-DB9F73CFC302} - System32\Tasks\ShakierFinesV2 => Rundll32.exe GametesMolting.dll,main 7 1 ==================== Załadowane moduły (filtrowane) ============== 2015-11-17 17:00 - 2015-11-17 17:00 - 00349184 _____ () C:\Users\Gośka\AppData\Local\ShakierFines\GametesMolting.dll Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj starą wersję Java 8 Update 25 (64-bit). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. To ukryty odpadek po niechcianej instalacji Lenovo REACHit, tu nie ma komputera typu "Lenovo". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {045A9D10-B025-4562-9A25-217055FC1559} - System32\Tasks\TankUnreplacedV2 => Rundll32.exe SinterRecondition.dll,main 7 1 Task: {FCB1BEDB-D984-469E-BC86-EB3247FFAD5B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {FE675972-8F42-4DB1-9509-DB9F73CFC302} - System32\Tasks\ShakierFinesV2 => Rundll32.exe GametesMolting.dll,main 7 1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\Lenovo C:\Users\Gośka\AppData\Local\Lenovo C:\Users\Gośka\AppData\Local\Opera Software C:\Users\Gośka\AppData\Local\ShakierFines C:\Users\Gośka\AppData\Local\TankUnreplaced C:\Users\Gośka\AppData\Roaming\Opera Software C:\Users\Gośka\AppData\Roaming\Shortcut C:\Users\Gośka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\Users\Gośka\Downloads\*-dp*.exe C:\Users\Gośka\REACHit C:\Users\Public\Desktop\My Software Deals.url C:\Windows\System32\Tasks\Lenovo Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Gośka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemów.

Link do innego forum obowiązkowy, by było wiadome co robiono, ale i tak wymagam dostarczenia nowych raportów FRST (trzy pliki: FRST.txt, Addition.txt i Shortcut.txt) zrobionych z chwili obecnej. Pliki wstaw jako załączniki forum (oryginalne kodowanie zachowane), nie wklejaj na serwisach zewnętrznych.

Przywrócenie poprzedniej wersji rejestru odtworzyło braki w kluczach Uninstall. Skan SFC wykrył i naprawił masę uszkodzonych plików... Być może to masowe uszkodzenie jest wynikiem "baterii kończył się prąd a zanim podłączono zasilacz to komp już się uśpił". Przywrócenie poprzedniej wersji rejestru oznacza, że wskoczyły na listę programy już uprzednio odinstalowane (i są w formie uszkodzonej). Daj mi czas na analizę całości. To trochę potrwa.

Ostatnia poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\TutoTag DeleteKey: HKCU\Software\DAILYPCCLEAN DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tutorials DeleteKey: HKLM\SOFTWARE\Wow6432Node\oursurfingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Te serwery DNS wyglądają na wprowadzone przez adware. Podobny temat: KLIK.

W związku z tym po prostu usunę pozostałości z rejestru za pomocą skryptu FRST. Tak, zalogować się i wyczyścić zsynchronizowane dane. Cel tu jest taki, by się pozbyć zapamiętanej strony sweet-page.com w tych danych, bo to będzie wracać na lokalne Google Chrome z serwera. Tu nie było modyfikacji DNS na poziomie routera (w tej sytuacji wszystkie urządzenia dziedziczyłyby ustawienia), tylko modyfikacja po stronie tego konkretnego Windows. Poprawki. Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{1F620D6B-0E3F-4915-8977-141F7C2BC5BA}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{A2BE7100-E798-44A5-B7C2-AB657945A56D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{F9DF8245-4F0A-49AE-BCB8-E571305B69D4}: [NameServer] 104.197.191.4 RemoveDirectory: C:\DrWeb Quarantine RemoveDirectory: C:\DrWeb Archive RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Artur\Doctor Web Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Deinstalacja Firefox nie usuwa profilu Firefox z dysku. Dowód był w poprzednim logu: FireFox: ======== FF ProfilePath: C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\x4gnbani.default-1448744867604 Katalogi Firefox usunął zadany przeze mnie skrypt FRST: "C:\Users\Krzysiek\AppData\Local\Mozilla\Firefox" => pomyślnie usunięto. "C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox" => pomyślnie usunięto. W momencie gdy tworzyłeś ostatnie logi FRST program na pewno nie był odinstalowany (widoczny w logu). Teraz owszem go już nie widać. To znaczy? YAC już dawno został odinstalowany.

Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Poprawki. Otwórz Notatnik i wklej w nim: S4 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [329384 2015-11-27] (Duplex Secure Ltd.) S4 iSafeKrnl; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S4 iSafeKrnlKit; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [X] S4 iSafeKrnlR3; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [X] S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] S4 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [X] S4 WtuSystemSupport; "C:\Program Files\AVG Web TuneUp\WtuSystemSupport.exe" [X] HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Itstocks RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\pWdsManProp RemoveDirectory: C:\Documents and Settings\User\Dane aplikacji\Elex-tech RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: del /q C:\AVScanner.ini CMD: del /q "C:\Documents and Settings\User\Moje dokumenty\Downloads\yet_another_cleaner_*.exe" CMD: del /q C:\WINDOWS\system32\Drivers\sptd.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

To fałszywy alarm AVG. Tymczasowo włącz AVG na czas operacji z FRST, pobierz FRST ponownie i wykonaj podane zadania. To jest odpadek po niepożądanym programie Mobogenie. Takimi rzeczami zajmie się kolejny skaner, który mam tu w planie. Na razie wykonaj to co powyżej. Detekcja ClamWin na pliku GMER to fałszywy alarm. Natomiast plik installer.exe nie należy do żadnej z aplikacji używanej tu do skanowania - to jakiś inny "downloader" portalowy próbujący instalować śmieci (czyli droga jaką nabyłeś te wszystkie adware).

W międzyczasie zrobiłeś więcej niż podane, tzn. uruchomiłeś AdwCleaner i to starą wersję 4.111. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [gmsd_pl_005010162] => [X] ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\FWMiniProF RemoveDirectory: C:\Users\User\AppData\Local\Plugin Kingdom CMD: del /q "C:\WINDOWS\SysWOW64\Number of results" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi już potrzebne. 2. Uruchom najnowszą wersję AdwCleaner. Wybierz tyklko opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.