picasso

Czy na pewno wykonałeś poniższą akcję dla wszystkich połączeń? Nadal widzę w rejestrze aż trzy rekordy z poprzednim podejrzanym serwerem DNS. Czy na pewno wykonałeś opcję 2 (Zatrzymanie synchronizacji i wyczyszczenie danych (zresetowanie synchronizacji)) a nie 1 (tylko "Wylogowanie się z Chrome")? Czyszczenie po używanych narzędziach będzie na szarym końcu. Jeszcze nie teraz.

Nadwyżkowy Shortcut usuwam. Jak mówiłam, wystarcz go pobrać tylko raz z obojętnie którego konta. Te wszystkie których nie znalazłeś są nadal widoczne na liście zainstalowanych i logi wskazują, że są w pełni zainstalowane. A Google Chrome w strasznie starej wersji 34.0.1847.137 i trzeba będzie kiedyś podjąć decyzję co dalej. Nowsze Google Chrome nie będzie chodzić na tym sprzęcie, jest tu procesor bez obsługi SSE2: KLIK. ==================== Zainstalowane programy ====================== Codec 8.1 build 9 (HKLM\...\Codec_is1) (Version: 8.1b9 - m5studio) DivX Web Player (HKLM\...\{B7050CBDB2504B34BC2A9CA0A692CC29}) (Version: 1.4.0 - DivX,Inc.) Google Chrome (HKLM\...\Google Chrome) (Version: 34.0.1847.137 - Google Inc.) Java 7 Update 71 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217071FF}) (Version: 7.0.710 - Oracle) Java™ 6 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216031FF}) (Version: 6.0.310 - Oracle) ==================== Statystyki pamięci =========================== Procesor: AMD Sempron(tm) 2200+ Poprawki będąc zalogowanym na koncie darek: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Run: [aclertIO] => C:\Documents and Settings\darek\Dane aplikacji\kbdistem\deskazel.exe C:\Documents and Settings\All Users\Menu Start\Programy\Google Earth C:\Documents and Settings\All Users\Menu Start\Programy\Mega Fakturka demo C:\Documents and Settings\All Users\Menu Start\Programy\Unikupon S.A C:\Documents and Settings\darek\Dane aplikacji\Lavasoft C:\Documents and Settings\darek\Pulpit\Nieużywane skróty pulpitu\avast! Free Antivirus.lnk C:\Documents and Settings\darek\Pulpit\Nieużywane skróty pulpitu\Google Earth.lnk C:\Documents and Settings\darek\Pulpit\Nieużywane skróty pulpitu\INFOR System 2013 KPiR, Fakturowanie oraz Kadry i Płace.lnk C:\Documents and Settings\darek\Pulpit\Nieużywane skróty pulpitu\Skrót do Pokaż pulpit.lnk C:\Documents and Settings\darek\Pulpit\Nieużywane skróty pulpitu\Skrót do zoologiczny saloon_logo.jpg.lnk C:\Documents and Settings\darek\Pulpit\Nieużywane skróty pulpitu\Unikupon.lnk C:\Documents and Settings\darek\Menu Start\_Pokaż pulpit.lnk C:\Documents and Settings\darek\Menu Start\plan domu\target.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Jeśli chodzi o te programy, których nie dało się odinstalować lub były niewidoczne, to sprawdź czy będzie w stanie je usunąć Revo Uninstaller Freeware. Ten program był zresztą używany wcześniej do innych deinstalacji.

Skróty LNK Opery mają doklejony adres piesearch.com. Poza tym, są inne śmieci adware. Używałeś lewe skanery z czarnej listy: SpyHunter i YAC (Yet Another Cleaner). Akcje do wykonania: 1. Odinstaluj stare wersje i zbędnik Hewlett: Adobe AIR, Gadu-Gadu 10, HP Customer Participation Program 13.0, Java 7 Update 71. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera 26.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.piesearch.com/?type=sc&ts=1445521710&pid=etc22&uid=389458e5-880d-4d4d-9d95-41f8448ed22d StartMenuInternet: (HKLM) Opera - c:\program files (x86)\opera\opera.exe hxxp://www.piesearch.com/?type=sc&ts=1445521710&pid=etc22&uid=389458e5-880d-4d4d-9d95-41f8448ed22d OPR Session Restore: -> [funkcja włączona] CHR HomePage: Default -> gazeta.pl/0,0.html?p=174 CHR HKLM\...\Chrome\Extension: [oggihoncmelambjaefiboekididcaffe] - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx [2015-10-22] CHR HKLM-x32\...\Chrome\Extension: [mgmkibjehmijilgdlafejbedipjcjeaj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oggihoncmelambjaefiboekididcaffe] - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx [2015-10-22] GroupPolicy: Ograniczenia - Chrome GroupPolicyUsers\S-1-5-21-144805859-2219087630-3865369261-1005\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-144805859-2219087630-3865369261-1001 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} FF user.js: detected! => C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\xzpq7mwo.default-1445603186771\user.js [2015-11-28] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-144805859-2219087630-3865369261-1001\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 HKLM\...\Run: [sound+] => "C:\Program Files\Sound+\Sound+.exe" BootExecute: autocheck autochk * sh4native Sh4Removal R1 {b28b30d2-a22b-48a9-8948-d4167c37e7f0}Gw64; C:\Windows\System32\drivers\{b28b30d2-a22b-48a9-8948-d4167c37e7f0}Gw64.sys [48784 2015-11-28] (StdLib) S1 CFRMD; C:\Windows\SysWOW64\DRIVERS\CFRMD.sys [37976 2012-09-03] (Windows ® Win 7 DDK provider) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-10-23] () S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] Task: {0731C493-1698-4F14-B206-45173F0BCA5E} - System32\Tasks\{7F1DF47E-AB9A-40B6-8029-BE3AFB438C54} => pcalua.exe -a F:\BeachSoccer-Setup.exe -d F:\ Task: {11A83ED7-02FA-4458-9E52-534A61C6C7F8} - System32\Tasks\{0B4B8186-51F5-4F1D-96E0-CAD8D8AB7A0F} => pcalua.exe -a R:\wwp_vista_win7_fix_v1.4\wwp_vista_win7_fix_v1.4.exe -d R:\wwp_vista_win7_fix_v1.4 Task: {317EB34F-2335-44A8-9244-1218179686D9} - \LaunchPreSignup -> Brak pliku Task: {3371C453-BCF7-4F61-A063-8EEEF3B2CFC8} - System32\Tasks\{49E7D1B3-8A45-41B3-9DBA-AF9CB4A4DC2D} => pcalua.exe -a "C:\Users\Damian\Desktop\Video Download Pro 2011 v1.6 + Serial Setup.exe" -d C:\Users\Damian\Desktop Task: {3C0B5843-28CE-4CD2-B8E3-27645815856F} - System32\Tasks\{0D857135-05DB-4F84-A463-F4C6CB051ADD} => pcalua.exe -a D:\STEROWNIKI\CIPSET\Intel_Chipset_V9111019_XPVistaWin7\AsusSetup.exe -d D:\STEROWNIKI\CIPSET\Intel_Chipset_V9111019_XPVistaWin7 Task: {505F3DDB-9193-414A-881D-7615C27D9225} - \ShopperProJSUpd -> Brak pliku Task: {60C17F4C-066C-46EF-BDAC-C744D02A8430} - System32\Tasks\{57AF6269-C597-4705-8636-79854E5C9156} => pcalua.exe -a "M:\EBBOOKI\Poradniki\W_zki_wid_owe\Wózki widłowe.exe" -d M:\EBBOOKI\Poradniki\W_zki_wid_owe Task: {6515BE6B-2826-443D-B2EC-366116D7D14F} - System32\Tasks\{94587AC7-7D38-4D0A-B32F-5C9932FD8238} => pcalua.exe -a Q:\install.exe -d Q:\ Task: {6758FA59-E929-4345-AF6D-6C37A276127B} - System32\Tasks\{B3164340-0AB0-49A1-9E30-FB7A3F2A51E9} => pcalua.exe -a "D:\gry\Worms World Party\Install Fix - WWP.exe" -d "D:\gry\Worms World Party" Task: {6C733E92-8F52-4F48-868E-01F4E44254E5} - System32\Tasks\{6B577985-DD11-45BA-84C8-B6F908EEF5EC} => pcalua.exe -a "D:\KURSY NOWE\NOWE\Spielegeier.de C&C 3 MapPack 1 (buczek0)\gsc_cnc3_mappack1.exe" -d "D:\KURSY NOWE\NOWE\Spielegeier.de C&C 3 MapPack 1 (buczek0)".) Task: {92CFD66A-2F53-4DBC-9508-CDB57B311DEA} - System32\Tasks\Quark Updater => C:\Program Files (x86)\Quark\Quark Update\AutoUpdate.exe Task: {AEE9F6A6-445C-417A-81E9-A59363D9368B} - System32\Tasks\{6D8A562D-DA95-40BB-B673-25E8471D4C7E} => pcalua.exe -a S:\Setup.exe -d S:\ Task: {B430B682-48EE-49B3-9280-4E5A8781BBC2} - System32\Tasks\{2052379E-F022-4D1C-93E0-D908860BA9FF} => E:\PandoraMT2\PandoraMT2\PandoraMT2.exe Task: {BC347298-122C-4976-9E7E-1B92296AB63E} - System32\Tasks\{97B892F9-F64F-4700-BEE0-25EAB13E376E} => pcalua.exe -a "D:\KURSY NOWE\NOWE\Spielegeier.de C&C 3 MapPack 4 (buczek0)\gsc_cnc3_mappack4.exe" -d "D:\KURSY NOWE\NOWE\Spielegeier.de C&C 3 MapPack 4 (buczek0)" Task: {BD12206F-AE8B-4AE9-BA1B-4A0A31AB2983} - System32\Tasks\{3E87F9C4-BF82-4161-8DCA-26837C855774} => pcalua.exe -a C:\Users\Damian\Desktop\chomikowe2\Alcohol120_retail_1.9.8.7612_incl_Crack\Alcohol120_retail_1.9.8.7612.exe -d C:\Users\Damian\Desktop\chomikowe2\Alcohol120_retail_1.9.8.7612_incl_Crack Task: {C4CADBAB-2EAD-4411-A40C-E5F9A1C57894} - \LaunchSignup -> Brak pliku Task: {C6907BBA-CA38-409A-ACE1-6E4A31B6E185} - System32\Tasks\{A91B074A-D354-4D0E-BC5A-D22F8C4EA6CB} => pcalua.exe -a C:\Users\Damian\Desktop\VirtualDub-1.9.11\auxsetup.exe -d C:\Users\Damian\Desktop\VirtualDub-1.9.11 Task: {C9FB88B2-96D7-40F2-9831-64ABAC14F4AF} - System32\Tasks\{5A1B6063-9453-48EE-ADE1-D5BC9D95FDE1} => E:\PandoraMT2\PandoraMT2\PandoraMT2.exe Task: {CACB8B61-687D-40DE-8AA9-C534A980562B} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2015-08-19] (Reimage®) Task: {CF98020F-D126-4711-98E4-6D01C6419A51} - System32\Tasks\{892E58CB-273F-4819-8EF2-86D902F2B59A} => pcalua.exe -a "E:\PROGRAMY 2\WinZip120PL2.Pro\Key.exe" -d "E:\PROGRAMY 2\WinZip120PL2.Pro" Task: {EC3F7223-6D4E-432C-8462-C530213D659C} - System32\Tasks\{3D1BE8FA-CFE8-449B-9BF7-9C37CDEF7AEB} => pcalua.exe -a C:\Users\Damian\Desktop\NetFx20SP1_x64.exe -d C:\Users\Damian\Desktop Task: {EFA32238-1062-482F-BC4D-43F0FCB89B48} - System32\Tasks\{66FAFD47-6C5E-406A-B13C-59DE5D960966} => pcalua.exe -a U:\InstallVol1.exe -d U:\ Task: {F6F1E030-EF7D-452C-B557-643250D901B9} - System32\Tasks\{CDBA298A-806E-471E-97DE-3B7977C98C38} => pcalua.exe -a F:\Launch.exe -d F:\ Task: {F947F921-54F4-4FCB-B954-922172B51E05} - System32\Tasks\{8DEEB99E-7AD6-42A9-9E53-3B923A19676D} => pcalua.exe -a F:\instmsiw.exe -d F:\ HKU\S-1-5-21-144805859-2219087630-3865369261-1001\Software\Classes\.exe: exefile => C:\END C:\Program Files\Reimage C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WavePad Sound Editor.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Related Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoConnect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MP3Gain C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\Users\Damian\Start Menu\Programs\SpyHunter C:\Users\Damian\AppData\Local\{683D1C05-7868-4006-9A95-F6AB78778047} C:\Users\Damian\AppData\Local\Installer.lnk C:\Users\Damian\AppData\Local\Installer C:\Users\Damian\AppData\Local\Microsoft\Windows\GameExplorer\{629FE38E-26C9-476A-BE5D-F67290DD8507} C:\Users\Damian\AppData\Local\Microsoft\Windows\GameExplorer\{95D39E4F-8A6B-43CA-9168-A0D93AE24E98} C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\COMODO GeekBuddy.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Run in safe mode.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera 26 (2).lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\WorldEdit.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\Damian\AppData\Roaming\Mr Retro\Machine Wash\MW Vol 1 Washes Folder.lnk C:\Users\Damian\Desktop\Angielski przed wyjazdem_mp3+pdf — skrót.lnk C:\Users\Damian\Desktop\driver+ecran+asus+vh192d_10924_i91756123_il345.exe C:\Users\Damian\Desktop\SpyHunter 4.20.9.4533 Eng 32 Bit Portable C:\Users\Damian\Downloads\BA42.tmp C:\Windows\System32\drivers\{b28b30d2-a22b-48a9-8948-d4167c37e7f0}Gw64.sys C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\SysWOW64\drivers\CFRMD.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google2SRT Packages" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows, brak oznak by problemy były produkowane przez infekcję. Z raportów też kompletnie nic nie wynika. Kosmetyczne usuwanie szczątkowych wpisów na razie pomijam, bo to obecnie wygląda mało sensownie. Tu są oznaki tak jakby ogólnych naruszeń rejestru. Nie jest wykluczona globalna reinstalacja Windows. 1. Brak programów: wg FRST klucze Uninstall są golusieńskie (jedyny rekord to świeżo doinstalowane Chrome). Nie ma żadnych danych deinstalacyjnych w rejestrze, więc programów nie będzie widać. Nie ma możliwości naprawienia tego bez posłużenia się poprzednią wersją rejestru. Mogą być cienkie perspektywy na jakąkolwiek naprawę, a zależy to od kiedy jest usterka. Najstarszy punkt Przywracania jest z przedwczoraj, więc raczej odpada. Jest za to starsza kopia rejestru RegBack z sierpnia, nie wiadomo jednak czy dostatecznie "stara". Zakładając, że ta kopia się nadaje, jej przywrócenie odbyłoby się z poziomu środowiska WinRE: Uruchom FRST wg wskazówek: KLIK. Załaduj w nim skrypt fixlist.txt o postaci: LastRegBack: 2015-08-12 13:05 Dostarcz wynikowy fixlog.txt oraz zrób nowe logi FRST z poziomu uruchomionego Windows. 2. Zrób też weryfikację plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Temat przenoszę do działu Sieci, nic tu nie wskazuje na ingerencję infekcji. Z raportów nic nie wynika. Może na początek upewnij się, że nie bruździ Avast. Tymczasowo go odinstaluj. W przypadku braku rezultatów dostarcz raporty wymagane działem Sieci: KLIK. PS. Brakuje trzeciego obowiązkowego pliku FRST Shortcut. W spoilerze drobne doczyszczanie po adware oursurfing.com, nie powiązane ze zgłoszeniem. I to srackowany Windows, w Dzienniku zdarzeń kupa błędów będąca konsekwencją crackowania (spatchowane pliki Windows).

Temat przenoszę do działu Software. Problem zgłoszony jako główny nie jest pochodną infekcji. Brak danych jaki typ poczty nie dochodzi, ale może jest to wynik aktywności Norton Internet Security. To pochodna aktywności programów pakietu Podstawowe programy Windows Live. Dopóki te programy są zainstalowane i uruchamiane, będzie produkowana duża ilość takich folderów. W spoilerze załączyłam ich usuwanie, ale i tak powstaną na nowo. PS. System owszem zaśmiecony adware, ale to nie powinno mieć związku z powyższym problemem pocztowym. W spoilerze doczyszczanie:

Temat przenoszę do działu Windows. To nie jest problem infekcji. A z raportów nic nie wynika. Sprawdź czy coś pomoże sprawdzenie struktury plików pod kątem błędów oraz reperacja komponentów: 1. Klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklej następującą komendę: chkdsk /f /r ENTER, zresetuj system, wykona się sprawdzanie dysku pod kątem błędów. 2. Klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklej następującą komendę: dism /Online /Cleanup-Image /RestoreHealth ENTER, poczekaj na ukończenie zadania, zresetuj system. Formatowanie poprawione.

Na przyszłość: by poprawić post, opcja Edytuij > Użyj pełnego edytora. Posty skleiłam doprowadzając do oczekiwanej początkowo formy. Widać tu różne odpadki adware, ale to nie powinno generować opisywanego efektu. Podejrzenia budzi modyfikacja serwerów DNS - ustawiony adres 104.197.191.4 (-> 4.191.197.104.bc.googleusercontent.com). Akcje wstępne do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje Adobe Reader X (10.1.6) - Polish, Java™ 7 Update 5 (64-bit) oraz Windows Essentials Media Codec Pack 4.0 [64-Bit] (strona mediacodec.org jest zablokowana przez Google ze względu na dystrybucję szkodliwego oprogramowania). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis po odinstalowanym DivX VC80CRTRedist - 8.0.50727.6195 > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 downlsad; C:\Users\Artur\AppData\Local\Zottechi.exe [46592 2015-11-26] () [File not signed] S2 1a34a8e0; "C:\Windows\system32\rundll32.exe" "c:\progra~2\SNSvc.dll",service S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Xesmitge => ""="service" HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [DivXMediaServer] => C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [HTC Home Widget] => C:\Program Files\HTC Home\HTCHome.exe HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [ChicaPasswordManager] => "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [KiesPDLR.exe] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Run HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\RunOnce: [Adobe Speed Launcher] => 1448881532 HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> Task: {476F56CA-80B3-46D0-AD77-C1663359EC66} - \SN.Booster-S-1532781606 -> No File Task: {650703A3-D789-491B-A84A-D337BD5AF22E} - System32\Tasks\{1FC95851-41CB-4A38-AD8E-0BB1249B0C33} => pcalua.exe -a "C:\Program Files (x86)\Steam\steam.exe" -c steam://uninstall/8980 Task: {9F15FC93-DAEF-4A69-9657-4AE785788497} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {A720DE49-D3A2-4BA6-BC8F-B3F308A5108A} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe CHR HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Artur\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2014-03-14] CHR HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=22.5.5.15 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=22.5.5.15 HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm Toolbar: HKU\S-1-5-21-3076302344-2742556548-4197340800-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web C:\Program Files (x86)\DivX C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\ProgramData\AVAST Software C:\ProgramData\AVG C:\ProgramData\DivX C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Anti Keylogger C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GRemote C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Medieval 2 Total War Gold C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive\Hearts of Iron III Gold C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships C:\uninst C:\Users\Artur\AppData\Local\Zottechi.exe C:\Users\Artur\AppData\Local\Zottechi.exe.config C:\Users\Artur\AppData\Local\Avg C:\Users\Artur\AppData\Local\Opera Software C:\Users\Artur\AppData\Local\Tempfolder C:\Users\Artur\AppData\Local\Microsoft\Windows\GameExplorer\{6F2514B1-2D81-45FD-AFF8-55E0108B06A7} C:\Users\Artur\AppData\Local\Mozilla\Firefox C:\Users\Artur\AppData\LocalLow\Company C:\Users\Artur\AppData\Roaming\ex_log.txt C:\Users\Artur\AppData\Roaming\AVG C:\Users\Artur\AppData\Roaming\DivX C:\Users\Artur\AppData\Roaming\GoldenGate C:\Users\Artur\AppData\Roaming\Opera Software C:\Users\Artur\AppData\Roaming\WarThunder C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Play Sparta - War of empires.lnk C:\Users\Artur\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarthMod Empire.lnk C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarthMod Empire C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Third Age - Total War 3.0 (Part 1of2) C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Third Age - Total War 3.0 (Part 2of2) C:\Users\Artur\AppData\Roaming\Mozilla\Firefox C:\Users\Artur\Desktop\Third Age - Total War.lnk C:\Users\Administrator C:\Users\ASPNET C:\Users\Guest C:\Users\HomeGroupUser$ C:\Users\UpdatusUser C:\Windows\system32\XesmitgeOff.ini C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\Doctor Web C:\Windows\SysWOW64\history.dat C:\Windows\SysWOW64\Xesmitge.ini C:\Windows\SysWOW64\XesmitgeOff.ini Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > wyłącz rozszerzenia Nortona (sponsorowane przez Ask). Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres adware sweet-page.com. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną wyszukiwarkę Google, następnie skasuj z listy NortonSafe (sponsorowany przez Ask). Ustaw też wybraną przeglądarkę jako domyślna, bo obecnie jest ustawiona nie istniejąca już w systemie Opera. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy problem reklam nadal występuje.

Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKU\S-1-5-21-2194654022-3210789479-1943907499-1000\...\Run: [MSConfig] => C:\Users\LUCAS\ydcfwkop.exe [37838848 2015-11-10] (Intrusion falcon) HKU\S-1-5-21-2194654022-3210789479-1943907499-1000\...\Run: [qewr2342] => C:\Users\LUCAS\AppData\Roaming\evdyx-a.exe CustomCLSID: HKU\S-1-5-21-2194654022-3210789479-1943907499-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\mydocs.dll () SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-2194654022-3210789479-1943907499-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku FF Plugin-x32: @SonyCreativeSoftware.com/Media Go,version=1.0 -> C:\Program Files (x86)\Sony\Media Go\npmediago.dll [brak pliku] Task: {D0B74FB0-9EA2-4091-BAC1-BB3F3AF827C0} - System32\Tasks\{8DC3EC72-752D-4CA5-91EE-26179F5D5001} => pcalua.exe -a C:\Users\LUCAS\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\LUCAS\Downloads Task: {D3F91093-E066-43C3-AED2-79A50493327A} - System32\Tasks\{A147C281-BBE3-4895-B8DE-A70BF136506E} => pcalua.exe -a C:\Windows\SysWOW64\ISUSPM.cpl -c Software Updates S3 ALSysIO; \??\C:\Users\LUCAS\AppData\Local\Temp\ALSysIO64.sys [X] AlternateDataStreams: C:\Users\LUCAS\Local Settings:init RemoveDirectory: C:\Program Files (x86)\mozilla firefox\plugins RemoveDirectory: C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} RemoveDirectory: C:\ProgramData\{9BF4D58B-C6D6-467B-BC5A-FD0C1278F4AF} RemoveDirectory: C:\ProgramData\APN RemoveDirectory: C:\ProgramData\Ask RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Windows Genuine Advantage RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elaborate Bytes RemoveDirectory: C:\Users\LUCAS\AppData\Local\CrashRpt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2010.lnk C:\Users\LUCAS\ydcfwkop.exe C:\Users\LUCAS\AppData\Roaming\chrtmp C:\Users\LUCAS\AppData\Roaming\Microsoft\Word\Praca%20dyplomowa303475413474453489\Praca%20dyplomowa.docx.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\howto_*_file* /s CMD: attrib -r -h -s D:\howto_*_file* /s CMD: attrib -r -h -s E:\howto_*_file* /s CMD: attrib -r -h -s F:\howto_*_file* /s CMD: attrib -r -h -s G:\howto_*_file* /s CMD: del /q /s C:\howto_*_file* CMD: del /q /s D:\howto_*_file* CMD: del /q /s E:\howto_*_file* CMD: del /q /s F:\howto_*_file* CMD: del /q /s G:\howto_*_file* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt będzie ogromny ze względu na rekursywne usuwanie z wszystkich dysków dorobionych przez szyfrator plików spełniających warunek maski howto_*_file*. Shostuj go na jakimś zewnętrznym serwisie i prześlij do niego link.

W systemie działa adware nabyte z portalu dobreprogramy.pl: KLIK. Załatwił Cię poniższy plik "Asystenta pobierania", to nie jest poprawny instalator CCleaner: 2015-11-02 20:21 - 2015-11-02 20:21 - 00979960 _____ (App Soft Installer ) C:\Users\boczek1984\Downloads\CCleaner-13061-dp.exe AVG wykrywa po prostu ten wpis adware: R2 WdsManPro; C:\ProgramData\WWMiniProW\WMiniPro.exe [301704 2015-11-02] (DTools LIMITED) Poza tym, są do usunięcia inne śmieci / wpisy odpadkowe. Akcje do przeprowadzenia: 1. Odinstaluj zbędny sponsorowany pasek AVG SafeGuard toolbar oraz starą wersję Adobe Shockwave Player 11.6. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\WWMiniProW\WMiniPro.exe [301704 2015-11-02] (DTools LIMITED) S3 esgiguard; \??\C:\Users\boczek1984\Desktop\SpyHunter\SpyHunter\esgiguard.sys [X] Task: {09BCA860-390E-4018-B9E1-0BD688A1C432} - System32\Tasks\Java Platform SE Auto Updater => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe Task: {110C6092-A540-4304-A7CA-7299658BBB6D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {111E8317-7A20-440D-B964-250935BF4163} - System32\Tasks\{B80B6B85-E310-4D40-999B-9F784A453B22} => pcalua.exe -a "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUInstallHelper.exe" -c --Trigger-Uninstall Task: {1F80D2AC-A229-45A1-AEF8-1ADA02493137} - System32\Tasks\{D2C59669-AD29-48BE-85EE-99EBB431EFBF} => pcalua.exe -a C:\Users\boczek1984\AppData\Roaming\BitTorrent\BitTorrent.exe -c /UNINSTALL Task: {2358B975-6F25-40CF-89F2-FF2BA060B8C3} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.6.3\SymErr.exe Task: {23FEF41D-DD11-4BB3-82A7-B86DA33A1671} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {29D85D88-239A-40CC-88B6-4E0D07F4E87D} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.6.3\SymErr.exe Task: {458AC969-9620-4C16-A0C0-DAD67647B733} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {54847FAB-5B42-4A9F-8B0D-4B6E45880A59} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {81E0F47D-D7F3-45C7-BC47-C187DB56C9B9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {854D894F-160A-4193-B8B7-F77498A1658C} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe Task: {A825AD2A-0EA6-4664-8362-DA904DE247F2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {BE7217A4-D890-418D-98DF-BEAF7CE54D82} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D0E7354D-2395-4875-BFDE-F3FA15DBA28E} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert Task: {D83DFAA1-CF49-4BD3-9FA7-00D9594CBFAB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {EEA92FAE-C1BC-496A-82C0-B7F505D8A683} - System32\Tasks\{0C88C3FB-8B76-41E7-A931-3CFD3E4778F1} => Chrome.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/eula Task: {F642E6DF-D0DF-4909-822A-878EE2023EB0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F761B057-102A-4364-B24B-B3178B0D60E9} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {F77A5ED1-8201-40E4-9FB6-2B6E9BA6EA4F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX&q={searchTerms} HKU\S-1-5-21-2245542573-2779261186-3183875247-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX&q={searchTerms} SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX&q={searchTerms} SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKU\S-1-5-21-2245542573-2779261186-3183875247-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKU\S-1-5-21-2245542573-2779261186-3183875247-1004 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2245542573-2779261186-3183875247-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-2245542573-2779261186-3183875247-1001 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku Toolbar: HKU\S-1-5-21-2245542573-2779261186-3183875247-1001 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe C:\Program Files (x86)\Enigma Software Group C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\WWMiniProW C:\Users\boczek1984\AppData\Local\{2A840060-A553-4888-B4D0-520D29FFC73F} C:\Users\boczek1984\AppData\Local\Mozilla C:\Users\boczek1984\AppData\Roaming\istartsurf C:\Users\boczek1984\AppData\Roaming\Mozilla C:\Users\boczek1984\Desktop\Continue Registry Life installation.lnk C:\Users\boczek1984\Downloads\*-dp*.exe C:\Windows\System32\Tasks\Norton Identity Safe Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brak oznak infekcji. Przeklej z dziennika COMODO ten rekord pokazujący detekcję "unit.exe".

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Licence Device, Remote Desktop Access oraz odpadek po odinstalowanym McAfee Shared C Run-time for x64. Jeśli coś nie będzie widoczne lub zwróci błąd deinstalacji, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 dokiduke; C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5\knsnAF9E.tmp [645632 2015-11-29] () [brak podpisu cyfrowego] R2 ginoquci; C:\Users\User\AppData\Local\Temp\nsx189F.tmp [222208 2015-11-29] () [brak podpisu cyfrowego] S2 hidekoqe; C:\Users\User\AppData\Local\4A293868-1448825004-E311-A968-201A063026A5\qnsu1AE6.tmp [142336 2015-10-13] () [brak podpisu cyfrowego] R2 NetTcpHandler; C:\Users\User\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 ryrojiry; C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5\hnsp2D60.tmp [617984 2015-11-29] () [brak podpisu cyfrowego] R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-29] (TODO: ) R2 WdsManPro; C:\ProgramData\WWMiniProW\WMiniPro.exe [309384 2015-11-29] (DTools LIMITED) R2 xenyduje; C:\Users\User\AppData\Local\4A293868-1448788659-E311-A968-201A063026A5\snsf9477.tmp [325632 2015-11-29] () [brak podpisu cyfrowego] S3 HWiNFO32; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A.SYS [X] S3 L1C; \SystemRoot\system32\DRIVERS\L1C63x64.sys [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1448823137&z=73c55cc85e5fd47fd03e094g5zdzfb5b7o9cdgcoat&from=tt4u&uid=HGSTXHTS541010A9E680_JD1000CH20H0YJ20H0YJX StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.oursurfing.com/?type=sc&ts=1448823137&z=73c55cc85e5fd47fd03e094g5zdzfb5b7o9cdgcoat&from=tt4u&uid=HGSTXHTS541010A9E680_JD1000CH20H0YJ20H0YJX SearchScopes: HKU\S-1-5-21-381011488-45469353-525764923-1001 -> DefaultScope {F0566F6B-A283-4BFB-88BD-DEA0C882F4C8} URL = SearchScopes: HKU\S-1-5-21-381011488-45469353-525764923-1001 -> {F0566F6B-A283-4BFB-88BD-DEA0C882F4C8} URL = CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-10] Task: {1C08D9E7-2907-4D51-92E1-6B1D61332320} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {6239B3D5-760D-467B-BF2A-F38F14651112} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {839C2992-AD85-493D-B608-287AE4531B92} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-02-12] (Lenovo) Task: {AA4C3014-9690-452F-8536-0E0791BA818F} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [gmsd_pl_005010161] => [X] C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5 C:\Program Files (x86)\Opera C:\Program Files (x86)\SFK C:\Program Files (x86)\Yahoo! C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\WWMiniProW C:\ProgramData\Microsoft\Windows\GameExplorer\{BBF63130-E765-4F26-922B-524C77F9C608} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Assassins Creed III C:\Users\User\AppData\Local\file__0.localstorage C:\Users\User\AppData\Local\nsz342A.tmp C:\Users\User\AppData\Local\4A293868-1448825004-E311-A968-201A063026A5 C:\Users\User\AppData\Local\4A293868-1448788659-E311-A968-201A063026A5 C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Roaming\AnyProtectEx C:\Users\User\AppData\Roaming\NetService C:\Users\User\AppData\Roaming\Opera Software C:\Users\User\AppData\Roaming\oursurfing C:\Users\User\AppData\Roaming\RunDir C:\Users\User\AppData\Roaming\shortCutStore C:\Users\User\AppData\Roaming\VOPackage C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nero (32-bit) C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\User\Downloads\url.htm C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\history.dat Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset CMD: type C:\ProgramData\Lenovo-1731.vbs CMD: type C:\ProgramData\Lenovo-1747.vbs EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

To wadliwe urządzenie McAfee rzeczywiście już zniknęło. Wszystko zrobione. Ostatnia drobna poprawka. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Anna\AppData\Roaming\TuneUp Software Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi już potrzebne.

Na wszelki wypadek sprawdź czy teraz po wyłączeniu usług jesteś w stanie odinstalować te dwa programy. Jeśli nie, to usuwanie siłowe: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy któryś z nich jest widoczny na liście > jeśli tak, podświetl > Dalej. W przypadku gdy będą widoczne oba wpisy, narzędzie trzeba uruchomić dwa razy. 2. Jeśli powyższe narzędzie nie wykryje ani jednego z podanych wpisów, sprawdź czy da radę odinstalować je Revo Uninstaller Freeware. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut.

Programów już nie ma, bo coś zrobiłeś wcześniej na własną rękę. Poza tym, brakuje pliku fixlog.txt z wynikami usuwania. Plik jest w tym samym folderze skąd uruchamiałeś FRST. Nie uruchamiaj przypadkiem opcji Fix w FRST ponownie, chodzi o plik z tamtego usuwania.

To nie zmienia faktu, że profil Firefox i tak zostaje na dysku. Skoro nie używasz Firefoxa, profil usunę. Te pliki były załączone w skrypcie FRST (FRST je usuwał), więc prawdopodobnie Avast wykrywał pliki już przesunięte przez FRST. Prawie wszystko zrobione. Poprawki: 1. Nadal widzę na liście zainstalowanych programów adware Picexa. Czy przypadkiem to pominąłeś, czy może wpisu nie widzisz lub występuje jakiś błąd podczas deinstalacji? Spróbuj to odinstalować. Poza tym, po deinstalacji Firefoxa nie jest Ci potrzebna ta instalacja: Adobe Flash Player 19 NPAPI. Opera używa wersję PPAPI. 2. Otwórz Notatnik i wklej w nim: S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] HKU\S-1-5-21-1657043038-3288557173-2309702434-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Krzysiek\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\Users\Krzysiek\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\Users\Krzysiek\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v DesktopVideoPlayer.lnk /f Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\BlueletAudio /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\BthAvrcpTg /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\BthHFEnum /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\bthhfhid /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Online DumpReg Archiwalna postać strony domowej Zastępcza strona pobierania Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware Serwis reboot.pro nie jest obecnie dostępny, z powodów wyszczególnionych w tym wątku. Nie wiadomo czy wróci. DumpReg - Minimalistyczny program do tworzenia i przywracania kopii zapasowej rejestru spod działającego systemu. Wykorzystuje wprawdzie "niezalecane" przez Microsoft techniki RegSaveKey / RegReplaceKey, ale został wydany pod koniec 2015 - posiada różne poprawki pod kątem najnowszych systemów i pewne błędy występujące w ERUNT nie mają tu miejsca. Do wglądu także dyskusja na forum reboot.pro. W paczce są dwie wersje narzędzia: graficzna DumpReg.exe oraz konsolowa dumpregCMD.exe. Nie wymaga instalacji. Tworzenie kopii rejestru Na systemach Vista i nowszych prawoklik na DumpReg.exe i opcja "Uruchom jako Administrator". W karcie Backup należy zaznaczyć które fragmenty rejestru nas interesują. Program bierze pod uwagę rejestr części systemowej (COMPONENTS, DEFAULT, DRIVERS, SAM, SECURITY, SOFTWARE, SYSTEM) oraz bieżącego użytkownika (NTUSER.DAT + UsrClass.dat). Zrzuca tylko gałęzie aktywnie załadowane przez system w danym momencie. Gałęzie niezaładowane są zszarzone i nie można ich wybrać - dotyczy to COMPONENTS i DRIVERS nowszych systemów, które są aktywnie ładowane tylko gdy Windows wykonuje operacje serwisowania komponentów. Domyślnie proponowanym miejscem dla kopii zapasowej jest folder C:\RegDump, ścieżkę można przekonfigurować. Kopie zapasowe są organizowane w podfolderach wg schematu C:\RegDump\Nazwa użytkownika-Nazwa komputera\Data_Czas. Uruchomienie procesu zrzucania rejestru powoduje chwilowe zablokowanie Windows, a jego ukończenie jest oznajmiane przez mały pop-komunikat "OK". Przywracanie kopii rejestru 1. Jeśli system startuje: W karcie Restore należy wskazać folder odpowiadający danej kopii zapasowej oraz zaznaczyć które pliki z kopii mają zostać przywrócone. W menu Options jest domyślnie ustawiona metoda podmiany plików RegReplaceKey - i tak proszę to zostawić, by uniknąć komplikacji związanych z aktywnie uruchomionym Windows. Podmiana plików nastąpi podczas restartu systemu. 2. Jeśli system nie startuje: Program nie ma dostosowań do wykonania tego procesu. Rejestr zrzucony przez program musi być przywrócony ręcznie z poziomu wybranego środowiska zewnętrznego.

1. Mała poprawaka. Skrypt do FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\Users\Mateusz\Doctor Web 2. Następnie DelFix i czyszczenie folderów Prywracania systemu: KLIK. Co nie zostanie usunięte przez DelFix, dokasować ręcznie. 3. Cały Windows do aktualizacji, stan obecny: Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: FF) W przypadku gdyby nie było, użytkownik miałby do wykonania to:

Pomiń na razie te deinstalacje. Zajmę się nimi potem. A w punkcie 2 zastosuj inny skrypt rozszerzony o wyłączanie powiązanych usług, czyli: CloseProcesses: CreateRestorePoint: DisableService: iSafeKrnl DisableService: iSafeKrnlKit DisableService: iSafeKrnlR3 DisableService: iSafeService DisableService: sptd DisableService: WtuSystemSupport HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKLM -> ielnksrch URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2E8A6E95-28B6-42E7-A156-FD99D6A24E0E}&mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34f8f4747&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-02-21 19:01:45&v=4.1.0.404&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {ielnksrch} URL = FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-12-19] [brak podpisu cyfrowego] HKLM\...\Run: [LMgrVolOSD] => "C:\Program Files\Launch Manager\OSD.exe" HKLM\...\Run: [LMgrOSD] => "C:\Program Files\Launch Manager\OSDCtrl.exe" HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe Winlogon\Notify\RailNotification: HKU\S-1-5-18\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-19\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\...\Run: [AVG-Secure-Search-Update_1015tb] => "C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe" /PROMPT /CMPID=1015tb /mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34 (dane wartości zawierają 7 znaków więcej). Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_1015tb_DELETE.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe S2 vToolbarUpdater40.1.8; "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\40.1.8\ToolbarUpdater.exe" [X] S3 eapihdrv; C:\Documents and Settings\User\Ustawienia lokalne\Temp\ehdrv.sys [135760 2015-11-27] (ESET) S1 mailKmd; Brak ImagePath S3 Tosrfcom; Brak ImagePath S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Itstock C:\Documents and Settings\User\Moje dokumenty\Google Chrome.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Pulpit\Pulpit\ALLPlayer V4.6.lnk C:\Documents and Settings\User\Pulpit\Pulpit\EPSONPlot!.lnk C:\Documents and Settings\User\Pulpit\Pulpit\IrfanView Thumbnails.lnk C:\Documents and Settings\User\Ulubione\Autodesk\DesignCenter.lnk C:\Program Files\Common Files\fyfw1iiw.oll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp:

Brak internetu wynikał prawdopodobnie z modyfikacji Winsock, bo widzę na dysku szczątkowe foldery oraz pliki *.ini kojarzone z tym rodzajem infekcji. Ogólnie obecnie nie za wiele tu widać, tylko drobne odpadkowe wpisy w Harmonogramie zadań i kilku innych miejscach. Pytaniem jest również czy serwer DNS 104.197.191.4 (-> *.bc.googleusercontent.com) był wybrany celowo? Akcja: 1. Odinstaluj stare wersje: Adobe Flash Player 10 Plugin, Adobe Reader X (10.1.0) - Polish. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3F0C1562-21BF-4E7B-8CB3-853686A444E7} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {4EFE1E16-0AD4-43E3-9445-C4E242A31D91} - System32\Tasks\Car Form => Rundll32.exe "C:\Users\Mateusz\AppData\Local\Car Form\xBin\CarForm.dll",#3 Task: {6209EB4A-70F0-4543-8F27-5960E134BD4B} - System32\Tasks\Nefcum => C:\PROGRA~1\GROOVE~1\Iretf.bat Task: {62986873-332C-478B-9F88-CF842C35C053} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {74E72DA1-5F52-4AEE-A2A9-79C49072E832} - \Zadpirve -> Brak pliku Task: {AE1CBAFF-F08C-4940-BB40-BF2AFFE2DBE1} - \psv_Singleity -> Brak pliku Task: {BE1F02B7-9DA0-438D-9759-C29D796C7D62} - System32\Tasks\{8C4036EA-C90B-42E7-9040-196B2BA599AD} => pcalua.exe -a "C:\Program Files (x86)\Hitman Contracts\uninstall.exe" -d "C:\Program Files (x86)\Hitman Contracts" Task: {D32D7D0E-B0FD-4AAC-8B6F-4D5406462D35} - System32\Tasks\Ulopum => C:\PROGRA~1\SHOPPE~2\Thsiok.bat Task: {D4E6EF00-1215-4953-8E83-A1F6F3B6E2AA} - \psv_Zummaex -> Brak pliku Task: {DF0DAC40-82C9-48E6-B560-B855A43B5778} - \psv_HoldTip -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {4CA7A89B-B509-4CBF-AB97-6307132C0EF3} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {AC129BF9-68BF-4bc4-A1DC-ECB62712FF99} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {D0196D2A-1578-4CC2-8692-9F617C64D184} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {4CA7A89B-B509-4CBF-AB97-6307132C0EF3} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {AC129BF9-68BF-4bc4-A1DC-ECB62712FF99} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {D0196D2A-1578-4CC2-8692-9F617C64D184} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} C:\Program Files (x86)\*.tmp C:\Program Files (x86)\04a5883b-115e-448f-9032-232def82982a C:\Program Files (x86)\3ab95b34-6f9f-4cff-8ed3-cceb7837dc65 C:\Program Files (x86)\Bin C:\Program Files (x86)\Google C:\Program Files (x86)\Pluto TV C:\Program Files (x86)\TempInstaller C:\Program Files\Common Files\rw5e0ly0 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\uninst C:\Users\Mateusz\.pluto.tv C:\Users\Mateusz\AppData\Local\{730D0059-BD87-4023-826E-85B38312B9C8} C:\Users\Mateusz\AppData\Local\{CD71F914-0CCB-44B3-9846-92DAB34BA761} C:\Users\Mateusz\AppData\Local\Movefan.exe.config C:\Users\Mateusz\AppData\Local\Google C:\Users\Mateusz\AppData\Local\Tempfolder C:\Users\Mateusz\AppData\LocalLow\Company C:\Users\Mateusz\AppData\Roaming\DiqkiFitlef C:\Windows\version.ini C:\Windows\upd_version.ini C:\Windows\Provider32 C:\Windows\system32\DorkiczamOff.ini C:\Windows\system32\YvuumbOff.ini C:\Windows\system32\bar C:\Windows\system32\fin C:\Windows\system32\wocf C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\Dorkiczam.ini C:\Windows\SysWOW64\DorkiczamOff.ini C:\Windows\SysWOW64\Number of results C:\Windows\SysWOW64\Yvuumb.ini C:\Windows\SysWOW64\YvuumbOff.ini CMD: for /d %f in ("C:\Program Files (x86)\*.tmp") do rd /s /q "%f" Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Poprawki: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Catered to You -> {b90183ad-1cf4-4d7b-9461-b89083957547} -> C:\Program Files (x86)\Catered to You\Extensions\b90183ad-1cf4-4d7b-9461-b89083957547.dll => Brak pliku S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Krzysiek\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Krzysiek\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Może skaner uszkodził komponenty deinstalacyjne. Co się pokazuje przy próbie deinstalacji?

Brakuje głównego raportu FRST.txt. Dołącz. Będą też jeszcze poprawki.

FraudTool.YAC - posiadasz zainstalowanego delikwenta YAC(Yet Another Cleaner!), to niepożądany program: KLIK / KLIK. Może on także obniżać wydajność systemu. PUP.Optional.V9 - powiązany wątek z YAC, masowe przekierowania na adres v9.com. Akcje do przeprowadzenia: 1. Przez Dodaj/Usuiń programy odinstaluj: AVG Web TuneUp, McAfee Security Scan Plus, YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKLM -> ielnksrch URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2E8A6E95-28B6-42E7-A156-FD99D6A24E0E}&mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34f8f4747&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-02-21 19:01:45&v=4.1.0.404&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {ielnksrch} URL = FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-12-19] [brak podpisu cyfrowego] HKLM\...\Run: [LMgrVolOSD] => "C:\Program Files\Launch Manager\OSD.exe" HKLM\...\Run: [LMgrOSD] => "C:\Program Files\Launch Manager\OSDCtrl.exe" HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe Winlogon\Notify\RailNotification: HKU\S-1-5-18\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-19\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\...\Run: [AVG-Secure-Search-Update_1015tb] => "C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe" /PROMPT /CMPID=1015tb /mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34 (dane wartości zawierają 7 znaków więcej). Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_1015tb_DELETE.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe S2 vToolbarUpdater40.1.8; "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\40.1.8\ToolbarUpdater.exe" [X] S3 eapihdrv; C:\Documents and Settings\User\Ustawienia lokalne\Temp\ehdrv.sys [135760 2015-11-27] (ESET) S1 mailKmd; Brak ImagePath S3 Tosrfcom; Brak ImagePath S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Itstock C:\Documents and Settings\User\Moje dokumenty\Google Chrome.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Pulpit\Pulpit\ALLPlayer V4.6.lnk C:\Documents and Settings\User\Pulpit\Pulpit\EPSONPlot!.lnk C:\Documents and Settings\User\Pulpit\Pulpit\IrfanView Thumbnails.lnk C:\Documents and Settings\User\Ulubione\Autodesk\DesignCenter.lnk C:\Program Files\Common Files\fyfw1iiw.oll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Pluis trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problemem są dwie instalacje adware Catered to You + Video AdBlock for Firefox. Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje Adobe Reader 9.3 - Polish, Nowe Gadu-Gadu oraz adware Catered to You. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. Są dwa takie wpisy, więc narzędzie trzeba uruchomić dwa razy i powtórzyć akcję. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-26] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-26] (Google Inc.) Task: {0C69C588-B83B-44ED-8A54-91C668EBDF1B} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-09-26] (Google Inc.) Task: {6532B66C-5E80-41EB-BA86-12E61A03FDD0} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe Task: {CDC56117-91E5-448C-81F1-457DCE4E65CF} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-09-26] (Google Inc.) Task: {F9E0B67D-92CF-4D7A-BD4D-AAA15A915AB7} - System32\Tasks\Driver Booster SkipUAC (Krzysiek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files (x86)\GUTB28D.tmp C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\extensions Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie potem przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił. PS. Odpowiadasz już w nowym poście, nie edytuj pierwszego.