picasso

W systemie działa adware nabyte z portalu dobreprogramy.pl: KLIK. Załatwił Cię poniższy plik "Asystenta pobierania", to nie jest poprawny instalator CCleaner: 2015-11-02 20:21 - 2015-11-02 20:21 - 00979960 _____ (App Soft Installer ) C:\Users\boczek1984\Downloads\CCleaner-13061-dp.exe AVG wykrywa po prostu ten wpis adware: R2 WdsManPro; C:\ProgramData\WWMiniProW\WMiniPro.exe [301704 2015-11-02] (DTools LIMITED) Poza tym, są do usunięcia inne śmieci / wpisy odpadkowe. Akcje do przeprowadzenia: 1. Odinstaluj zbędny sponsorowany pasek AVG SafeGuard toolbar oraz starą wersję Adobe Shockwave Player 11.6. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\WWMiniProW\WMiniPro.exe [301704 2015-11-02] (DTools LIMITED) S3 esgiguard; \??\C:\Users\boczek1984\Desktop\SpyHunter\SpyHunter\esgiguard.sys [X] Task: {09BCA860-390E-4018-B9E1-0BD688A1C432} - System32\Tasks\Java Platform SE Auto Updater => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe Task: {110C6092-A540-4304-A7CA-7299658BBB6D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {111E8317-7A20-440D-B964-250935BF4163} - System32\Tasks\{B80B6B85-E310-4D40-999B-9F784A453B22} => pcalua.exe -a "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUInstallHelper.exe" -c --Trigger-Uninstall Task: {1F80D2AC-A229-45A1-AEF8-1ADA02493137} - System32\Tasks\{D2C59669-AD29-48BE-85EE-99EBB431EFBF} => pcalua.exe -a C:\Users\boczek1984\AppData\Roaming\BitTorrent\BitTorrent.exe -c /UNINSTALL Task: {2358B975-6F25-40CF-89F2-FF2BA060B8C3} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.6.3\SymErr.exe Task: {23FEF41D-DD11-4BB3-82A7-B86DA33A1671} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {29D85D88-239A-40CC-88B6-4E0D07F4E87D} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.6.3\SymErr.exe Task: {458AC969-9620-4C16-A0C0-DAD67647B733} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {54847FAB-5B42-4A9F-8B0D-4B6E45880A59} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {81E0F47D-D7F3-45C7-BC47-C187DB56C9B9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {854D894F-160A-4193-B8B7-F77498A1658C} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe Task: {A825AD2A-0EA6-4664-8362-DA904DE247F2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {BE7217A4-D890-418D-98DF-BEAF7CE54D82} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D0E7354D-2395-4875-BFDE-F3FA15DBA28E} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert Task: {D83DFAA1-CF49-4BD3-9FA7-00D9594CBFAB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {EEA92FAE-C1BC-496A-82C0-B7F505D8A683} - System32\Tasks\{0C88C3FB-8B76-41E7-A931-3CFD3E4778F1} => Chrome.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/eula Task: {F642E6DF-D0DF-4909-822A-878EE2023EB0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F761B057-102A-4364-B24B-B3178B0D60E9} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {F77A5ED1-8201-40E4-9FB6-2B6E9BA6EA4F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX&q={searchTerms} HKU\S-1-5-21-2245542573-2779261186-3183875247-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX&q={searchTerms} SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1415482461&from=ild&uid=HitachiXHTS547550A9E384_J2160056GA4APCGA4APCX&q={searchTerms} SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKU\S-1-5-21-2245542573-2779261186-3183875247-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKU\S-1-5-21-2245542573-2779261186-3183875247-1004 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2245542573-2779261186-3183875247-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-2245542573-2779261186-3183875247-1001 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku Toolbar: HKU\S-1-5-21-2245542573-2779261186-3183875247-1001 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe C:\Program Files (x86)\Enigma Software Group C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\WWMiniProW C:\Users\boczek1984\AppData\Local\{2A840060-A553-4888-B4D0-520D29FFC73F} C:\Users\boczek1984\AppData\Local\Mozilla C:\Users\boczek1984\AppData\Roaming\istartsurf C:\Users\boczek1984\AppData\Roaming\Mozilla C:\Users\boczek1984\Desktop\Continue Registry Life installation.lnk C:\Users\boczek1984\Downloads\*-dp*.exe C:\Windows\System32\Tasks\Norton Identity Safe Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brak oznak infekcji. Przeklej z dziennika COMODO ten rekord pokazujący detekcję "unit.exe".

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Licence Device, Remote Desktop Access oraz odpadek po odinstalowanym McAfee Shared C Run-time for x64. Jeśli coś nie będzie widoczne lub zwróci błąd deinstalacji, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 dokiduke; C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5\knsnAF9E.tmp [645632 2015-11-29] () [brak podpisu cyfrowego] R2 ginoquci; C:\Users\User\AppData\Local\Temp\nsx189F.tmp [222208 2015-11-29] () [brak podpisu cyfrowego] S2 hidekoqe; C:\Users\User\AppData\Local\4A293868-1448825004-E311-A968-201A063026A5\qnsu1AE6.tmp [142336 2015-10-13] () [brak podpisu cyfrowego] R2 NetTcpHandler; C:\Users\User\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 ryrojiry; C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5\hnsp2D60.tmp [617984 2015-11-29] () [brak podpisu cyfrowego] R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-29] (TODO: ) R2 WdsManPro; C:\ProgramData\WWMiniProW\WMiniPro.exe [309384 2015-11-29] (DTools LIMITED) R2 xenyduje; C:\Users\User\AppData\Local\4A293868-1448788659-E311-A968-201A063026A5\snsf9477.tmp [325632 2015-11-29] () [brak podpisu cyfrowego] S3 HWiNFO32; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A.SYS [X] S3 L1C; \SystemRoot\system32\DRIVERS\L1C63x64.sys [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1448823137&z=73c55cc85e5fd47fd03e094g5zdzfb5b7o9cdgcoat&from=tt4u&uid=HGSTXHTS541010A9E680_JD1000CH20H0YJ20H0YJX StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.oursurfing.com/?type=sc&ts=1448823137&z=73c55cc85e5fd47fd03e094g5zdzfb5b7o9cdgcoat&from=tt4u&uid=HGSTXHTS541010A9E680_JD1000CH20H0YJ20H0YJX SearchScopes: HKU\S-1-5-21-381011488-45469353-525764923-1001 -> DefaultScope {F0566F6B-A283-4BFB-88BD-DEA0C882F4C8} URL = SearchScopes: HKU\S-1-5-21-381011488-45469353-525764923-1001 -> {F0566F6B-A283-4BFB-88BD-DEA0C882F4C8} URL = CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-10] Task: {1C08D9E7-2907-4D51-92E1-6B1D61332320} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {6239B3D5-760D-467B-BF2A-F38F14651112} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {839C2992-AD85-493D-B608-287AE4531B92} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-02-12] (Lenovo) Task: {AA4C3014-9690-452F-8536-0E0791BA818F} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [gmsd_pl_005010161] => [X] C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5 C:\Program Files (x86)\Opera C:\Program Files (x86)\SFK C:\Program Files (x86)\Yahoo! C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\WWMiniProW C:\ProgramData\Microsoft\Windows\GameExplorer\{BBF63130-E765-4F26-922B-524C77F9C608} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Assassins Creed III C:\Users\User\AppData\Local\file__0.localstorage C:\Users\User\AppData\Local\nsz342A.tmp C:\Users\User\AppData\Local\4A293868-1448825004-E311-A968-201A063026A5 C:\Users\User\AppData\Local\4A293868-1448788659-E311-A968-201A063026A5 C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Roaming\AnyProtectEx C:\Users\User\AppData\Roaming\NetService C:\Users\User\AppData\Roaming\Opera Software C:\Users\User\AppData\Roaming\oursurfing C:\Users\User\AppData\Roaming\RunDir C:\Users\User\AppData\Roaming\shortCutStore C:\Users\User\AppData\Roaming\VOPackage C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nero (32-bit) C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\User\Downloads\url.htm C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\history.dat Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset CMD: type C:\ProgramData\Lenovo-1731.vbs CMD: type C:\ProgramData\Lenovo-1747.vbs EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

To wadliwe urządzenie McAfee rzeczywiście już zniknęło. Wszystko zrobione. Ostatnia drobna poprawka. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Anna\AppData\Roaming\TuneUp Software Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi już potrzebne.

Na wszelki wypadek sprawdź czy teraz po wyłączeniu usług jesteś w stanie odinstalować te dwa programy. Jeśli nie, to usuwanie siłowe: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy któryś z nich jest widoczny na liście > jeśli tak, podświetl > Dalej. W przypadku gdy będą widoczne oba wpisy, narzędzie trzeba uruchomić dwa razy. 2. Jeśli powyższe narzędzie nie wykryje ani jednego z podanych wpisów, sprawdź czy da radę odinstalować je Revo Uninstaller Freeware. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut.

Programów już nie ma, bo coś zrobiłeś wcześniej na własną rękę. Poza tym, brakuje pliku fixlog.txt z wynikami usuwania. Plik jest w tym samym folderze skąd uruchamiałeś FRST. Nie uruchamiaj przypadkiem opcji Fix w FRST ponownie, chodzi o plik z tamtego usuwania.

To nie zmienia faktu, że profil Firefox i tak zostaje na dysku. Skoro nie używasz Firefoxa, profil usunę. Te pliki były załączone w skrypcie FRST (FRST je usuwał), więc prawdopodobnie Avast wykrywał pliki już przesunięte przez FRST. Prawie wszystko zrobione. Poprawki: 1. Nadal widzę na liście zainstalowanych programów adware Picexa. Czy przypadkiem to pominąłeś, czy może wpisu nie widzisz lub występuje jakiś błąd podczas deinstalacji? Spróbuj to odinstalować. Poza tym, po deinstalacji Firefoxa nie jest Ci potrzebna ta instalacja: Adobe Flash Player 19 NPAPI. Opera używa wersję PPAPI. 2. Otwórz Notatnik i wklej w nim: S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] HKU\S-1-5-21-1657043038-3288557173-2309702434-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Krzysiek\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\Users\Krzysiek\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\Users\Krzysiek\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v DesktopVideoPlayer.lnk /f Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\BlueletAudio /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\BthAvrcpTg /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\BthHFEnum /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\bthhfhid /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Online DumpReg Archiwalna postać strony domowej Zastępcza strona pobierania Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware Serwis reboot.pro nie jest obecnie dostępny, z powodów wyszczególnionych w tym wątku. Nie wiadomo czy wróci. DumpReg - Minimalistyczny program do tworzenia i przywracania kopii zapasowej rejestru spod działającego systemu. Wykorzystuje wprawdzie "niezalecane" przez Microsoft techniki RegSaveKey / RegReplaceKey, ale został wydany pod koniec 2015 - posiada różne poprawki pod kątem najnowszych systemów i pewne błędy występujące w ERUNT nie mają tu miejsca. Do wglądu także dyskusja na forum reboot.pro. W paczce są dwie wersje narzędzia: graficzna DumpReg.exe oraz konsolowa dumpregCMD.exe. Nie wymaga instalacji. Tworzenie kopii rejestru Na systemach Vista i nowszych prawoklik na DumpReg.exe i opcja "Uruchom jako Administrator". W karcie Backup należy zaznaczyć które fragmenty rejestru nas interesują. Program bierze pod uwagę rejestr części systemowej (COMPONENTS, DEFAULT, DRIVERS, SAM, SECURITY, SOFTWARE, SYSTEM) oraz bieżącego użytkownika (NTUSER.DAT + UsrClass.dat). Zrzuca tylko gałęzie aktywnie załadowane przez system w danym momencie. Gałęzie niezaładowane są zszarzone i nie można ich wybrać - dotyczy to COMPONENTS i DRIVERS nowszych systemów, które są aktywnie ładowane tylko gdy Windows wykonuje operacje serwisowania komponentów. Domyślnie proponowanym miejscem dla kopii zapasowej jest folder C:\RegDump, ścieżkę można przekonfigurować. Kopie zapasowe są organizowane w podfolderach wg schematu C:\RegDump\Nazwa użytkownika-Nazwa komputera\Data_Czas. Uruchomienie procesu zrzucania rejestru powoduje chwilowe zablokowanie Windows, a jego ukończenie jest oznajmiane przez mały pop-komunikat "OK". Przywracanie kopii rejestru 1. Jeśli system startuje: W karcie Restore należy wskazać folder odpowiadający danej kopii zapasowej oraz zaznaczyć które pliki z kopii mają zostać przywrócone. W menu Options jest domyślnie ustawiona metoda podmiany plików RegReplaceKey - i tak proszę to zostawić, by uniknąć komplikacji związanych z aktywnie uruchomionym Windows. Podmiana plików nastąpi podczas restartu systemu. 2. Jeśli system nie startuje: Program nie ma dostosowań do wykonania tego procesu. Rejestr zrzucony przez program musi być przywrócony ręcznie z poziomu wybranego środowiska zewnętrznego.

1. Mała poprawaka. Skrypt do FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\Users\Mateusz\Doctor Web 2. Następnie DelFix i czyszczenie folderów Prywracania systemu: KLIK. Co nie zostanie usunięte przez DelFix, dokasować ręcznie. 3. Cały Windows do aktualizacji, stan obecny: Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: FF) W przypadku gdyby nie było, użytkownik miałby do wykonania to:

Pomiń na razie te deinstalacje. Zajmę się nimi potem. A w punkcie 2 zastosuj inny skrypt rozszerzony o wyłączanie powiązanych usług, czyli: CloseProcesses: CreateRestorePoint: DisableService: iSafeKrnl DisableService: iSafeKrnlKit DisableService: iSafeKrnlR3 DisableService: iSafeService DisableService: sptd DisableService: WtuSystemSupport HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKLM -> ielnksrch URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2E8A6E95-28B6-42E7-A156-FD99D6A24E0E}&mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34f8f4747&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-02-21 19:01:45&v=4.1.0.404&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {ielnksrch} URL = FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-12-19] [brak podpisu cyfrowego] HKLM\...\Run: [LMgrVolOSD] => "C:\Program Files\Launch Manager\OSD.exe" HKLM\...\Run: [LMgrOSD] => "C:\Program Files\Launch Manager\OSDCtrl.exe" HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe Winlogon\Notify\RailNotification: HKU\S-1-5-18\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-19\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\...\Run: [AVG-Secure-Search-Update_1015tb] => "C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe" /PROMPT /CMPID=1015tb /mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34 (dane wartości zawierają 7 znaków więcej). Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_1015tb_DELETE.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe S2 vToolbarUpdater40.1.8; "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\40.1.8\ToolbarUpdater.exe" [X] S3 eapihdrv; C:\Documents and Settings\User\Ustawienia lokalne\Temp\ehdrv.sys [135760 2015-11-27] (ESET) S1 mailKmd; Brak ImagePath S3 Tosrfcom; Brak ImagePath S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Itstock C:\Documents and Settings\User\Moje dokumenty\Google Chrome.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Pulpit\Pulpit\ALLPlayer V4.6.lnk C:\Documents and Settings\User\Pulpit\Pulpit\EPSONPlot!.lnk C:\Documents and Settings\User\Pulpit\Pulpit\IrfanView Thumbnails.lnk C:\Documents and Settings\User\Ulubione\Autodesk\DesignCenter.lnk C:\Program Files\Common Files\fyfw1iiw.oll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp:

Brak internetu wynikał prawdopodobnie z modyfikacji Winsock, bo widzę na dysku szczątkowe foldery oraz pliki *.ini kojarzone z tym rodzajem infekcji. Ogólnie obecnie nie za wiele tu widać, tylko drobne odpadkowe wpisy w Harmonogramie zadań i kilku innych miejscach. Pytaniem jest również czy serwer DNS 104.197.191.4 (-> *.bc.googleusercontent.com) był wybrany celowo? Akcja: 1. Odinstaluj stare wersje: Adobe Flash Player 10 Plugin, Adobe Reader X (10.1.0) - Polish. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3F0C1562-21BF-4E7B-8CB3-853686A444E7} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {4EFE1E16-0AD4-43E3-9445-C4E242A31D91} - System32\Tasks\Car Form => Rundll32.exe "C:\Users\Mateusz\AppData\Local\Car Form\xBin\CarForm.dll",#3 Task: {6209EB4A-70F0-4543-8F27-5960E134BD4B} - System32\Tasks\Nefcum => C:\PROGRA~1\GROOVE~1\Iretf.bat Task: {62986873-332C-478B-9F88-CF842C35C053} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {74E72DA1-5F52-4AEE-A2A9-79C49072E832} - \Zadpirve -> Brak pliku Task: {AE1CBAFF-F08C-4940-BB40-BF2AFFE2DBE1} - \psv_Singleity -> Brak pliku Task: {BE1F02B7-9DA0-438D-9759-C29D796C7D62} - System32\Tasks\{8C4036EA-C90B-42E7-9040-196B2BA599AD} => pcalua.exe -a "C:\Program Files (x86)\Hitman Contracts\uninstall.exe" -d "C:\Program Files (x86)\Hitman Contracts" Task: {D32D7D0E-B0FD-4AAC-8B6F-4D5406462D35} - System32\Tasks\Ulopum => C:\PROGRA~1\SHOPPE~2\Thsiok.bat Task: {D4E6EF00-1215-4953-8E83-A1F6F3B6E2AA} - \psv_Zummaex -> Brak pliku Task: {DF0DAC40-82C9-48E6-B560-B855A43B5778} - \psv_HoldTip -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {4CA7A89B-B509-4CBF-AB97-6307132C0EF3} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {AC129BF9-68BF-4bc4-A1DC-ECB62712FF99} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKLM -> {D0196D2A-1578-4CC2-8692-9F617C64D184} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {4CA7A89B-B509-4CBF-AB97-6307132C0EF3} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {AC129BF9-68BF-4bc4-A1DC-ECB62712FF99} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1289696128-1573057215-2946025546-1001 -> {D0196D2A-1578-4CC2-8692-9F617C64D184} URL = hxxp://www.google.com/cse?cx=partner-pub-9609672093949948%3A2pdkvfm6u5y&ie=ISO-8859-1&q={searchTerms} C:\Program Files (x86)\*.tmp C:\Program Files (x86)\04a5883b-115e-448f-9032-232def82982a C:\Program Files (x86)\3ab95b34-6f9f-4cff-8ed3-cceb7837dc65 C:\Program Files (x86)\Bin C:\Program Files (x86)\Google C:\Program Files (x86)\Pluto TV C:\Program Files (x86)\TempInstaller C:\Program Files\Common Files\rw5e0ly0 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\uninst C:\Users\Mateusz\.pluto.tv C:\Users\Mateusz\AppData\Local\{730D0059-BD87-4023-826E-85B38312B9C8} C:\Users\Mateusz\AppData\Local\{CD71F914-0CCB-44B3-9846-92DAB34BA761} C:\Users\Mateusz\AppData\Local\Movefan.exe.config C:\Users\Mateusz\AppData\Local\Google C:\Users\Mateusz\AppData\Local\Tempfolder C:\Users\Mateusz\AppData\LocalLow\Company C:\Users\Mateusz\AppData\Roaming\DiqkiFitlef C:\Windows\version.ini C:\Windows\upd_version.ini C:\Windows\Provider32 C:\Windows\system32\DorkiczamOff.ini C:\Windows\system32\YvuumbOff.ini C:\Windows\system32\bar C:\Windows\system32\fin C:\Windows\system32\wocf C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\Dorkiczam.ini C:\Windows\SysWOW64\DorkiczamOff.ini C:\Windows\SysWOW64\Number of results C:\Windows\SysWOW64\Yvuumb.ini C:\Windows\SysWOW64\YvuumbOff.ini CMD: for /d %f in ("C:\Program Files (x86)\*.tmp") do rd /s /q "%f" Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Poprawki: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Catered to You -> {b90183ad-1cf4-4d7b-9461-b89083957547} -> C:\Program Files (x86)\Catered to You\Extensions\b90183ad-1cf4-4d7b-9461-b89083957547.dll => Brak pliku S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Krzysiek\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Krzysiek\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Może skaner uszkodził komponenty deinstalacyjne. Co się pokazuje przy próbie deinstalacji?

Brakuje głównego raportu FRST.txt. Dołącz. Będą też jeszcze poprawki.

FraudTool.YAC - posiadasz zainstalowanego delikwenta YAC(Yet Another Cleaner!), to niepożądany program: KLIK / KLIK. Może on także obniżać wydajność systemu. PUP.Optional.V9 - powiązany wątek z YAC, masowe przekierowania na adres v9.com. Akcje do przeprowadzenia: 1. Przez Dodaj/Usuiń programy odinstaluj: AVG Web TuneUp, McAfee Security Scan Plus, YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKLM -> ielnksrch URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2E8A6E95-28B6-42E7-A156-FD99D6A24E0E}&mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34f8f4747&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-02-21 19:01:45&v=4.1.0.404&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {ielnksrch} URL = FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-12-19] [brak podpisu cyfrowego] HKLM\...\Run: [LMgrVolOSD] => "C:\Program Files\Launch Manager\OSD.exe" HKLM\...\Run: [LMgrOSD] => "C:\Program Files\Launch Manager\OSDCtrl.exe" HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe Winlogon\Notify\RailNotification: HKU\S-1-5-18\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-19\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\...\Run: [AVG-Secure-Search-Update_1015tb] => "C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe" /PROMPT /CMPID=1015tb /mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34 (dane wartości zawierają 7 znaków więcej). Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_1015tb_DELETE.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe S2 vToolbarUpdater40.1.8; "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\40.1.8\ToolbarUpdater.exe" [X] S3 eapihdrv; C:\Documents and Settings\User\Ustawienia lokalne\Temp\ehdrv.sys [135760 2015-11-27] (ESET) S1 mailKmd; Brak ImagePath S3 Tosrfcom; Brak ImagePath S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Itstock C:\Documents and Settings\User\Moje dokumenty\Google Chrome.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Pulpit\Pulpit\ALLPlayer V4.6.lnk C:\Documents and Settings\User\Pulpit\Pulpit\EPSONPlot!.lnk C:\Documents and Settings\User\Pulpit\Pulpit\IrfanView Thumbnails.lnk C:\Documents and Settings\User\Ulubione\Autodesk\DesignCenter.lnk C:\Program Files\Common Files\fyfw1iiw.oll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Pluis trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problemem są dwie instalacje adware Catered to You + Video AdBlock for Firefox. Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje Adobe Reader 9.3 - Polish, Nowe Gadu-Gadu oraz adware Catered to You. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. Są dwa takie wpisy, więc narzędzie trzeba uruchomić dwa razy i powtórzyć akcję. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-26] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-26] (Google Inc.) Task: {0C69C588-B83B-44ED-8A54-91C668EBDF1B} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-09-26] (Google Inc.) Task: {6532B66C-5E80-41EB-BA86-12E61A03FDD0} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe Task: {CDC56117-91E5-448C-81F1-457DCE4E65CF} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-09-26] (Google Inc.) Task: {F9E0B67D-92CF-4D7A-BD4D-AAA15A915AB7} - System32\Tasks\Driver Booster SkipUAC (Krzysiek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files (x86)\GUTB28D.tmp C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\extensions Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie potem przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił. PS. Odpowiadasz już w nowym poście, nie edytuj pierwszego.

boczek1984, z takim podejściem daleko nie zajedziesz. Już dawno znalizowałabym temat i podała instrukcje usuwania, gdybyś tylko przeczytał co należy. I nie pytałbyś o logi z FRST i GMER. A te niebieskie napisy w moim poście to są klikalne linki prowadzące do instrukcji!

Brakuje trzeciego obowiązkowego FRST Shortcut i preferuję pliki w załącznikach forum (pliki w oryginalnym kodowaniu). Widzę kilka różnych problemów: - Infekcje: świeża "deskazel.exe" oraz bardzo stara kiedyś niedoczyszczona infekcja typu ransomware (z przyczyny dziurawej Java). - Uszkodzona baza Usług kryptograficznych: usługi i sterowniki Microsoftu mają masowo od góry do dołu oznaczenie Brak podpisu cyfrowego. - A błąd Firefox jest związany ze złą wersją pliku nss3.dll - domyślnie ten plik jest folderze C:\Program Files\Mozilla Firefox. Będę sprawdzać kopie pliku. Akcje wstępne do przeprowadzenia: 1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, co resetuje bazę catroot2. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje: Ad-Aware SE Personal, Codec 8.1 build 9, DivX Web Player, Google Chrome, Java™ 6 Update 31, Java 7 Update 71. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Run: [fdfadgfdgfdgdfg] => C:\Documents and Settings\All Users\Dane aplikacji\fdfadgfdgfdgdfg.exe [112128 2013-07-04] () HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Run: [aclertIO] => C:\Documents and Settings\darek\Dane aplikacji\kbdistem\deskazel.exe [545085 2015-11-26] () HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\darek\Dane aplikacji\skype.dat Startup: C:\Documents and Settings\darek\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.0.1.lnk [2006-03-18] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-2025429265-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = www.bing.com HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab IE trusted site: HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\win.pl -> hxxps://myadmin.e.win.pl Task: C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job => C:\Program Files\Microsoft Security Client\MpCmdRun.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\fdfadgfdgfdgdfg.exe C:\Documents and Settings\darek\Dane aplikacji\skype.ini C:\Documents and Settings\darek\Dane aplikacji\sversion.ini C:\Documents and Settings\darek\Dane aplikacji\kbdistem Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi FRST: - W polu Szukaj wklep nss3.dll i klik w Szukaj plików. - W systemie są dwa konta, na razie sprawdzany tylko darek. Po kolei zaloguj się na oba konta poprzez pełny restart systemu (a nie opcję Wyloguj lub Przełącz użytkownika) i wykonaj na każdym log z opcji Skanuj. Na gosi zaznacz też Addition i zaległy Shortcut (wystarczy go pobrać tylko raz, nieważne z którego konta). darek (S-1-5-21-2025429265-1078081533-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\darek gosia (S-1-5-21-2025429265-1078081533-725345543-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\gosia Dołącz też plik fixlog.txt.

DelFix wprawdzie kasował różne odpadki narzędzi, ale nic z D:\ - ręcznie dokasuj z tego miejsca FRST i jego logi, o ile już tego nie zrobiłeś. Plik C:\delfix.txt też do upłynnienia. Temat rozwiązany. Zamykam.

Wszystko zgodnie z planem. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Cel infekcji nieznany. Na wszelki wypadek pozmieniaj loginy w ważnych serwisach (bank, poczta, etc).

1. Ostatni skrypt do FRST: DeleteKey: HKCU\Software\PRODUCTSETUP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Skasuj więc ten folder przez SHIFT+DEL (omija Kosz urządzenia). DelFix wykonał zadanie, również jego log C:\delfix.txt do usunięcia.

FRST pomyślnie wykonał zadanie. Na pendrive odkryłam folder F:\My videos 18. Sprawdź czy niczego w nim nie brakuje. Na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystkie pliki pomyślnie podmienione. Skasuj foldery C:\FRST, C:\Pliki i D:\instalki\FRST64, oraz wszystkie logi utworzone przez FRST. Temat rozwiązany. Zamykam.

W systemie jest infekcja - uruchamia się moduł eapphostp.dll. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [ocebyinb] => rundll32 "C:\Users\Alchemy Studio\AppData\Roaming\eapphostp.dll",ktqyv Toolbar: HKU\S-1-5-21-2538737369-596069251-4272499049-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 LVPr2M64; system32\DRIVERS\LVPr2M64.sys [X] Task: {2A4F721A-8EAF-430C-BB58-CF02536A230D} - System32\Tasks\{DF72C691-55CE-48B0-93D3-EA355F379751} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.259&LastError=404 Task: {7EF4F028-0066-4EB8-8DAA-ACE7C87B6F10} - System32\Tasks\{B9C4991F-79E7-4A5F-9AC7-BBAEF305878A} => Firefox.exe hxxp://ui.skype.com/ui/0/4.1.0.179.259/pl/abandoninstall?source=lightinstaller&page=tsProblems&LastError=404&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;ienotdefaultbrowser2 C:\Users\Alchemy Studio\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Alchemy Studio\AppData\Roaming\eapphostp.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem z MSSE ustąpił. PS. Oczywiście odpowiadasz już w nowym poście.