picasso

Nic czynnego, tylko szczątkowe wpisy adware, oraz bardzo stary ESET (potem do wymiany). 1. Deinstalacje: ----> Przez Dodaj/Usuń programy odinstaluj stare Adobe AIR, Adobe Reader 9.5.2, DivX Setup. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe ukryte wpisy RealDownloader, RealNetworks - Microsoft Visual C++ 2008 Runtime, RealNetworks - Microsoft Visual C++ 2010 Runtime, RealUpgrade 1.1. Narzędzie należy uruchomić tyle razy, ile wpisów, nie da się zrobić hurtowego usuwania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-1957994488-527237240-725345543-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1957994488-527237240-725345543-500 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss_din2g&mntrId=7C2200C0A8D9076E SearchScopes: HKU\S-1-5-21-1957994488-527237240-725345543-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398462342&from=cor&uid=FUJITSUXMHW2080BH_NZ2RT7227MVPT7227MVPX&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO: DealPly -> {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} -> No File Toolbar: HKU\.DEFAULT -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\.DEFAULT -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-1957994488-527237240-725345543-500 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-1957994488-527237240-725345543-500 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll [2011-06-20] (DivX, LLC.) FF Plugin: @real.com/nppl3260;version=16.0.2.32 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll No File FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.2.32 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll No File FF Plugin: @realnetworks.com/npdlplugin;version=1 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll [2013-04-16] (RealDownloader) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml [2015-05-20] FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml [2014-04-26] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\zczqkzcp.default\extensions\quick_start@gmail.com Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{774B83C5-AB09-4EA7-9858-83D6A625F73D}.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1957994488-527237240-725345543-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1957994488-527237240-725345543-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-1957994488-527237240-725345543-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] () [File not signed] S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] C:\Documents and Settings\Administrator\daemonprocess.txt C:\Documents and Settings\Administrator\Dane aplikacji\Babylon C:\Documents and Settings\Administrator\Dane aplikacji\DealPly C:\Documents and Settings\Administrator\Dane aplikacji\digitalsite C:\Documents and Settings\Administrator\Dane aplikacji\DSite C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy C:\Documents and Settings\Administrator\Dane aplikacji\SimilarSites C:\Documents and Settings\Administrator\Dane aplikacji\Solvusoft C:\Documents and Settings\Administrator\Dane aplikacji\SupTab C:\Documents and Settings\Administrator\Moje dokumenty\Mobogenie C:\Documents and Settings\Administrator\Moje dokumenty\Optimizer Pro C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\FileViewPro C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\IePluginService C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\All Users\Menu Start\Programy\DealPly C:\Documents and Settings\All Users\Menu Start\Programy\RealNetworks C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\AVG Security Toolbar C:\Program Files\DealPly C:\Program Files\Optimizer Pro C:\Program Files\RealNetworks C:\Program Files\sitefinder C:\Program Files\SupTab C:\Program Files\SweetIM C:\Program Files\WiseEnhance C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DisableService: PLAY ONLINE. RunOuc Reg: reg delete HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} /f Reg: reg delete HKCU\Software\BABSOLUTION /f Reg: reg delete HKCU\Software\DataMngr /f Reg: reg delete HKCU\Software\DealPly /f Reg: reg delete HKCU\Software\dsiteproducts /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\InstallCore /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706} /f Reg: reg delete HKCU\Software\Mozilla\Extends /f Reg: reg delete HKCU\Software\SweetIM /f Reg: reg delete HKCU\Software\UpdateStar /f Reg: reg delete HKCU\Software\WiseEnhance /f Reg: reg delete HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0} /f Reg: reg delete HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C} /f Reg: reg delete HKLM\SOFTWARE\Babylon /f Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB} /f Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} /f Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} /f Reg: reg delete HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} /f Reg: reg delete HKLM\SOFTWARE\Classes\Prod.cap /f Reg: reg delete HKLM\SOFTWARE\Classes\TypeLib\{07CAC314-E962-4F78-89AB-DD002F2490EE} /f Reg: reg delete HKLM\SOFTWARE\Classes\TypeLib\{13ABD093-D46F-40DF-A608-47E162EC799D} /f Reg: reg delete HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D} /f Reg: reg delete HKLM\SOFTWARE\DataMngr /f Reg: reg delete HKLM\SOFTWARE\DealPly /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v bProtectTabs /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\SupTab /f Reg: reg delete HKLM\SOFTWARE\supWPM /f Reg: reg delete HKLM\SOFTWARE\SweetIM /f Reg: reg delete HKLM\SOFTWARE\sweet-pageSoftware /f Reg: reg delete HKLM\SOFTWARE\WiseEnhance /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginService /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Wpm /f Reg: reg delete "HKU\S-1-5-18\Software\AVG Secure Search" /f Reg: reg delete HKU\S-1-5-18\Software\SweetIM /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan (z Addition, bez Shortcut). Dołącz też plik fixlog.txt.

W raportach nie widać nic powiązanego w Google Chrome. Skoro problem nadal istnieje, występuje tu prawdopodobnie adware "zintegrowane" z Chrome (modyfikacja resources.pak) i wymagana reinstalacja przeglądarki. Od tego właśnie rozpocznij: 1. Wyeksportuj z Chrome trylko zakładki. Zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki 2. Zainstaluj najnowsze Google Chrome. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się czy problem nadal występuje.

Raporty z przestarzałego OTL nie są już brane tu pod uwagę, za to zestaw obowiązkowych logów FRST niekompletny - brak plików Addition + Shortcut. Problem główny stanowiło rozszerzenie: CHR Extension: (Coupon4u) - C:\Users\pekude\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccogepdpdnpcoblidpcjgmdcafinijg [2015-05-10] Usunąłeś z dysku folder, co nie jest do końca poprawną metodą, to rozszerzenie powinno nadal być widoczne w opcjach (na razie niedostępnych). Ale to nie wszystko co było od adware - także polityki Google Chrome (blokujące wejście do opcji) oraz inne niepożądane wpisy. Tak więc proszę o nowe świeże raporty FRST, włącznie z tymi brakującymi.

Nie przedstawiłeś zrzutu ekranu o jakiej reklamie mowa, ale domyślam się, że jest to rodzaj "przyklejonego boxu". Raport FRST wskazuje bowiem na infekcję routera - zakreślony IP jest niemiecki: KLIK. Tcpip\Parameters: [DhcpNameServer] 85.114.135.20 8.8.8.8 Akcje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper. 3. Pozostałe działania "kosmetyczne" - usunięcie pustych wpisów i wypróżnienie bufora DNS. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2824378846-524081564-2586175422-1000\...\Policies\system: [DisableLockWorkstation] 0 Toolbar: HKU\S-1-5-21-2824378846-524081564-2586175422-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-2824378846-524081564-2586175422-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] Task: {1C6C87A6-26C7-4A61-90EF-FDF6C3433243} - System32\Tasks\Uninstaller_SkipUac_user => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {20B1F884-FA07-4A64-867D-C1AB40275603} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {A5AF3D53-F893-447E-AE4C-D2806476490E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files (x86)\Google C:\Program Files (x86)\Temp C:\ProgramData\Google C:\ProgramData\Temp C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Roaming\Google C:\Users\user\Links\Dysk Google.lnk C:\Windows\msdownld.tmp CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Fix FRST wykonany pomyślnie, skróty przeglądarek pomyślnie wyleczone i Delta już nie powinna się otwierać. Kolejne akcje: 1. AdwCleaner ma zastrzeżenia do programu Driver Genius. Odinstaluj go w poprawny sposób via Panel sterowania. 2. Dopiero po przeprowadzeniu powyższego uruchom ponownie AdwCleaner, lecz tym razem zastosuj zestaw opcji Szukaj + Usuń. Gdy program ukończy czyszczenie: 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Meg\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Meg\Downloads\zrxo37jz.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

W Operze jest dobrze widoczne tytułowe adware. Problem dłuższego uruchamiania systemu nie pochodzi jednak od infekcji - silny podejrzany to oprogramowanie antywirusowe, aktualnie w tle Avast + Norton Internet Security, co jest wystarczającym powodem, by nawet zablokować uruchomienie systemu. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje oraz zbędniki firmowe, co obniży liczbę uruchamianych procesów: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9.3 MUI, Adobe Shockwave Player 11.5, Bing Bar, Java™ 6 Update 20 (64-bit), Java™ 6 Update 20, Norton Internet Security, Norton Online Backup. 2. W Operze CTRL+SHIFT+E i za pomocą iksa odinstaluj rozszerzenie adware Digital More. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1223011260-1282141417-537522039-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1223011260-1282141417-537522039-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1223011260-1282141417-537522039-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1223011260-1282141417-537522039-1000 -> {A2453129-6392-4821-AEBF-6B58278C1019} URL = SearchScopes: HKU\S-1-5-21-1223011260-1282141417-537522039-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File BootExecute: autocheck autochk * sdnclean64.exe C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\{*}.log C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Malwarebytes C:\ProgramData\Temp C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\System32\Tasks\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

Mimo wszystko poproszę o podane zestawu obowiązkowych raportów z FRST, które mają to potwierdzić. Dołącz też log z MBAM pokazujący co usunięto.

Tak, to dobry kierunek działań. Tutaj sprawy infekcyjne rozwiązane, więc ten temat zamykam.

Wszystko zrobione. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To nie są pliki GMER per se, tylko raporty błędów Windows nagrane podczas awarii GMER. Możesz je oczywiście usunąć.

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję opcji Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: Task: {2B249E86-CACC-4AFD-A696-5D10CD1937BA} - System32\Tasks\{50EE199C-3573-475E-9D58-842C71A1309C} => pcalua.exe -a "C:\Users\Ania\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl http://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Ania\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Ania\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Ania\Downloads\gm.zip Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Owszem, jest aktywne w Harmonogramie zadań podejrzane zadanie MdmUpdateTaskMachineCore wyglądające na BitCoin Minera (teoretycznie związane z Hightail for Lenovo, ale w innym temacie był inny program przypisany, co sugeruje używanie ścieżek legalnych aplikacji przez szkodnika). To jedyne co ewentualnie ze "szkodników" tu może grać rolę, bo poza tym są tylko nieaktywne szczątki adware. Na razie przeprowadź te działania i zobaczymy co z tego wyniknie: 1. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface (downloader programów AutoCAD i nie tylko). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&q={searchTerms} HKU\S-1-5-21-1705058009-1785825615-431387334-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&q={searchTerms} HKU\S-1-5-21-1705058009-1785825615-431387334-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKU\S-1-5-21-1705058009-1785825615-431387334-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN HKU\S-1-5-21-1705058009-1785825615-431387334-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1432267648&z=b1709f83f48d67b21c27294g5z7c5o1ocqemfq5oaw&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&q={searchTerms} URLSearchHook: [s-1-5-21-1705058009-1785825615-431387334-1001] ATTENTION ==> Default URLSearchHook is missing SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&ts=1432267697&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&ts=1432267697&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&ts=1432267697&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1705058009-1785825615-431387334-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-SSHD-8GB_W382ACFNXXXXW382ACFN&ts=1432267697&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\XTab\SupTab.dll No File HKU\S-1-5-21-1705058009-1785825615-431387334-1002\...\Run: [Akamai NetSession Interface] => C:\Users\User\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.) HKLM-x32\...\Run: [EfficientStickyNotes] => [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1705058009-1785825615-431387334-1002\...\Policies\Explorer: [] HKU\S-1-5-21-1705058009-1785825615-431387334-1002\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1705058009-1785825615-431387334-1002\...\Policies\Explorer: [NoControlPanel] 0 Task: {48C9E774-BA89-4B09-A2C0-31FEFAD7E1FA} - System32\Tasks\{46880199-C722-4B3D-8F90-53FBFBD25A57} => pcalua.exe -a "C:\GRY\Riot Games\League of Legends\lol.launcher.exe" -d "C:\GRY\Riot Games\League of Legends\" Task: {5701C1F1-29D7-4685-8CEA-375DF1523C78} - System32\Tasks\MdmUpdateTaskMachineCore => C:\Users\User\AppData\Roaming\Hightail for Lenovo\Caches\mdm [2015-05-16] ( ) Task: {6C6FB0EC-9136-44D2-8334-ABB67FF0583E} - System32\Tasks\{7FE1C493-3202-45C5-B166-9A4AFE9D9F51} => pcalua.exe -a "C:\GRY\Riot Games\League of Legends\lol.launcher.exe" -d "C:\GRY\Riot Games\League of Legends\" Task: {AC44926E-C252-46DF-A0BB-30067F93EC06} - System32\Tasks\{48B8A1F3-F1D6-4CA3-8842-AA3F0E5F8715} => Chrome.exe http://ui.skype.com/ui/0/7.3.0.101/pl/abandoninstall?page=tsProgressBar HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Launcher L2 Exilium.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk Folder: C:\Users\User\AppData\Roaming\Hightail for Lenovo CMD: netsh advfirewall reset Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinRAR Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Winzip Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest jakaś poprawa.

Brak trzeciego pliku FRST Shortcut. Temat przenoszę do działu Windows. To nie jest problem infekcji. Z raportów nic też nie wynika konkretnego. Sugestie: 1. Odinstaluj zbędne firmowe aplikacje, np. ASUS Data Security Manager (o ile nie korzystasz z tego szyfratora). To usunie określone procesy, a także integrację z eksploratorem. Pozbądź się też File Association Helper. 2. Następnie przetestuj zachowanie systemu w stanie czystego rozruchu: KLIK. 3. Poboczne zadanie w spoilerze, tzn. usunięcie szczątkowych / pustych wpisów. Ten punkt nie ma znaczenia pod kątem zgłaszanych problemów.

W raportach nie widać żadnego czynnego obiektu pasującego do objawów, są tylko nieaktywne szczątki infekcji W Harmonogramie zadań. Jest możliwe, że ładowanie szkodnika zachodzi z miejsca, którego nie skanuje FRST. Będziemy szukać co odpala te procesy. Za to notuję uszkodzenia plików Windows: Winsock: Catalog5 03 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] () Winsock: Catalog5 04 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] () Są też ślady kombinacji z aktywacją systemu. Na razie przeprowadź te akcje: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {420F8883-31F8-4B1D-BBE1-C3FAF1D267C2} - System32\Tasks\Update\taskhost => C:\Users\Piter\AppData\Local\Temp\taskhost.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3725198157-3711145802-2932217680-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3725198157-3711145802-2932217680-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\44364275.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\44364275.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" S3 catchme; \??\C:\ComboFix\catchme.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKU\S-1-5-21-3725198157-3711145802-2932217680-1000_Classes\CLSID\{AE021FCC-750B-CDC1-A5FA-E4D4D250DC1D} /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Piter\AppData\Local CMD: dir /a C:\Users\Piter\AppData\LocalLow CMD: dir /a C:\Users\Piter\AppData\Roaming CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jest tu jeszcze co czyścić, m.in. aktywne adware YouTube Accelerator w Winsock oraz zmodyfikowane skróty LNK przeglądarek kierujące na oursurfing.com. Do przeprowadzenia: 1. Odinstaluj adware Mouthpiece Notification. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {05CA4F16-C41D-4D20-BD7F-E9441B371280} - \SmartWeb Upgrade Trigger Task No Task File Task: {5B94828A-0A3B-41FB-B8C3-1A14834725BF} - \ShopperPro No Task File Task: {8F956E02-2741-4228-A6CC-5CB77BBC2A30} - \ShopperProJSUpd No Task File Task: {9D71992D-A317-4AF6-B938-96B59FDE380C} - \SPDriver No Task File Task: {AA26E772-EE3E-4FFC-A036-8FBE613FCBBD} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} Task: {AAAFAB6D-90C9-4D43-B6CF-2320B8C88B76} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {B4C04B14-090D-4E1F-A49A-B3DE9F0F367D} - \APSnotifierPP3 No Task File Task: {DAD458BB-568B-4946-9F45-2F9133517EF8} - \SPBIW_UpdateTask_Time_323238373130313733372d4a5b5b345a417845455a376c No Task File Task: {DBF4784D-234D-489F-A322-15800626ECAB} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [WinCheck] => C:\Users\Administrator\AppData\Local\F5A708FF-1432679338-11E3-9673-CE39E75C1B10\bnsh7D3E.exe [861696 2015-05-26] () HKU\S-1-5-21-3325632279-856947495-1742326175-500\...\Run: [Virtual WiFi Router] => "" HKU\S-1-5-21-3325632279-856947495-1742326175-500\...\RunOnce: [CleanupUninstallerTemp] => cmd.exe /c del /F /Q "%temp%\updater_uninstall.exe" /f CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-3325632279-856947495-1742326175-500 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe StartMenuInternet: Google Chrome - Chrome.exe C:\Program Files (x86)\4269711e-b00b-412b-9fd9-d13df3fdba78 C:\Program Files (x86)\8d843763-d167-4df4-ab9a-d24ccbd91ac1 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\TEMP C:\Users\Administrator\AppData\Local\F5A708FF-1432679338-11E3-9673-CE39E75C1B10 C:\Users\Administrator\AppData\Local\globalUpdate C:\Users\Administrator\Downloads\Virtual WiFi Router 3.0.1.2 Setup.exe C:\Users\Public\Documents\GOOBZO RemoveDirectory: C:\Users\admin.p RemoveDirectory: C:\Users\lol DisableService: Mobile Partner. RunOuc CMD: netsh advfirewall reset CMD: netsh winsock reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

meganne, powstarzymaj się z wykonaniem powyższych operacji końcowych. Ostatni log FRST wykazywał więcej wpisów do usunięcia - zmodyfikowane skróty LNK przelądarek, czynny sterownik adware Sambreel, usługa IHProtect Service (usunięto tylko powiązany folder "XTab" z dysku) oraz kilka innych wpisów. Są nadal modyfikacje skrótów, stąd problem: ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3d7b04f33994a698\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1420019463&from=wpm12311&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT Kolejne acje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {345422e3-72fa-447a-9550-97803edfacf3}Gw64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}Gw64.sys [61120 2014-04-24] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [157824 2015-05-20] (XTab system) S3 Tosrfcom; No ImagePath BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-05-20] (Thinknice Co. Limited) Toolbar: HKU\S-1-5-21-3394211285-2232929740-4212499475-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3d7b04f33994a698\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1420019463&from=wpm12311&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [Not Found] CHR HKU\S-1-5-21-3394211285-2232929740-4212499475-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Meg\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-10-21] CHR HKLM-x32\...\Chrome\Extension: [ainbkicbloikcngphmjfpjdemblcojdd] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\slidebar.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Meg\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-10-21] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files (x86)\Gophoto.it\gophotoit16.crx [Not Found] Task: {750E3FF2-B25D-443F-87E9-4B853D81464B} - System32\Tasks\{3798AAF7-7581-40C2-859E-182F69805B7C} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe" C:\Program Files\Enigma Software Group C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony C:\Users\Meg\AppData\Local\CRE C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\Meg\Desktop\różne\DAEMON Tools Lite.lnk C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie używaj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Szczątkowy PragmaEngine zostanie dokasowany ręcznie. Poza tym, wszystko poszło sprawnie. Kolejna porcja zadań: NA KONCIE JAROSŁAW: 1. Otwórz Notatnik i wklej w nim: S1 tbfd_1_10_0_16; system32\drivers\tbfd_1_10_0_16.sys [X] BootExecute: autocheck autochk * sdnclean64.exe HKU\S-1-5-21-2702069576-3377963828-517850969-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://us.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFzytFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyDtCyB0ByEyD0A0CtGyBzyyB0AtG0F0AyCtAtGzz0BtC0BtGtBtDtB0C0DyB0A0A0A0A0Dzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyEtD0A0EtAyC0FtGyCzyyDzztGyEtDtB0CtG0A0DtD0BtGyBzytAtAtA0D0AyDtDyCyCyC2QtN0A0LzutBtN1B2Z1V1T1S1NzuyByCtD%26cr%3D1604865532%26a%3Dwncy_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFzytFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyDtCyB0ByEyD0A0CtGyBzyyB0AtG0F0AyCtAtGzz0BtC0BtGtBtDtB0C0DyB0A0A0A0A0Dzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyEtD0A0EtAyC0FtGyCzyyDzztGyEtDtB0CtG0A0DtD0BtGyBzytAtAtA0D0AyDtDyCyCyC2QtN0A0LzutBtN1B2Z1V1T1S1NzuyByCtD%26cr%3D1604865532%26a%3Dwncy_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {F8A0E0EF-4654-4F6D-BEB8-2DA3CFF26712} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} CMD: del /q C:\Users\Jarosław\AppData\Roaming\regsvr32.exe_log.txt RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Piotrek RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking Folder: C:\Users\Jarosław\AppData\Roaming\Toadwater JTWC DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "PC Suite Tray" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "TornTv Downloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v TornTvDownloader.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Chromium /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{9b6ed4d7} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj jeszcze Usuń). Log powstanie w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

Wszystko wykonane i możemy kończyć: 1. Dokasuj ręcznie te puste skróty z dysku: Shortcut: C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk -> C:\Program Files (x86)\TeamViewer\TeamViewer.exe (No File) Shortcut: C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk -> C:\Program Files (x86)\TeamViewer\TeamViewer.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switch Sound File Converter.lnk -> C:\Program Files (x86)\NCH Software\Switch\switch.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Trek New Worlds\Play Klingon Academy Video.lnk -> H:\MOVIES\KAPROMO.EXE (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Trek New Worlds\Play Starfleet Command Volume 2 Video.lnk -> H:\MOVIES\BINKPLAY.EXE (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QMAT\QMAT.lnk -> C:\Program Files (x86)\QMAT\qmat.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QMAT\Uninstall.lnk -> C:\Program Files (x86)\QMAT\uninstall.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Help HTML.lnk -> F:\Program Files.1\Quake3\Extras\Help\Index.htm (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Quake III Arena (English).lnk -> F:\Program Files.1\Quake3\Quakee.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Quake III Arena(Polish).lnk -> F:\Program Files.1\Quake3\Quakep.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Uninstall Quake III Arena.lnk -> F:\Program Files.1\Quake3\Unwise.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\GuildFTPd - FTP server deamon.lnk -> C:\Program Files (x86)\GuildFTPd\GuildFTPd.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\GuildFTPd help.lnk -> C:\Program Files (x86)\GuildFTPd\guildftpd.chm (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\Un-install GuildFTPd.lnk -> C:\Program Files (x86)\GuildFTPd\UNINSTALL.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GuildFTPd.lnk -> C:\Program Files (x86)\GuildFTPd\GuildFTPd.exe (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{BD3D1DF6-4081-4C30-ADFE-796812B105B7}\PlayTasks\0\Zagraj.lnk -> C:\Program Files (x86)\GOG.com\Unreal Tournament 2004\System\UT2004.exe (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{8D64A05D-85CA-4F74-84A4-839F39E05E06}\PlayTasks\0\Zagraj.lnk -> C:\Users\Witold\Desktop\blood2\BLOOD2.EXE (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{401CDFA4-17DD-4975-8FD2-DC0F494437CC}\PlayTasks\0\Zagraj.lnk -> F:\Program Files.1\DeadLock2\DEADLOCK.EXE (No File) 2. Usuń folder C:\Users\Witold\Desktop\cleanery\FRST. Po tym jeszcze zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Do analizy raportów nie ma poradników, bo tego nie da się nauczyć w oparciu o "opis". Jest po prostu wymagana określona wiedza o systemie operacyjnym oraz infekcjach, potrzebne też lata praktyki, by prawidłowo definiować szkodliwość wpisów. Temat był dyskutowany np. tu: KLIK, KLIK (post Naathim). Jedyne co istnieje, to tutoriale obsługi narzędzi (np. ten linkowany FRST), ale to inny gatunek: to tylko opis możliwości programu, ten tutorial koncentruje się na tym co umie FRST a nie użytkownik i już zakłada że wiele rzeczy delikwent wie i nie objaśnia określonych aspektów które już należy wiedzieć przystępując do pracy z FRST (np. budowa rejestru i kont, sekwencja startowa systemu, metody ładowania, zestaw domyślnych usług Windows, budowa przeglądarek, uprawnienia, linki symboliczne, etc, etc.). I nie należy się uczyć "pod narzędzie", bo co gdy FRST zostanie zastąpiony czymś innym. Narzędzia się zmieniają, pewna wiedza musi być stała, by móc analizować niezależnie od formatowania narzędzi.

Aplikacje są blokowane przez Debugger, jeśli zostałaby zmieniona ich nazwa tymczasowo, uruchomiłyby się. Ta informacja była już w raporcie OTL i powinieneś otrzymać instrukcję zmiany nazwy FRST na inną, by program się uruchomił. IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe IFEO\AnVir.exe: [Debugger] svchost.exe IFEO\AutoLogger.exe: [Debugger] svchost.exe IFEO\avz.exe: [Debugger] svchost.exe IFEO\CCleaner.exe: [Debugger] svchost.exe IFEO\CCleaner64.exe: [Debugger] svchost.exe IFEO\FRST.exe: [Debugger] svchost.exe IFEO\FRST64.exe: [Debugger] svchost.exe IFEO\HiJackThis.exe: [Debugger] svchost.exe IFEO\regedit.exe: [Debugger] svchost.exe IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSIT.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe Udało Ci się uruchomić FRST przypadkowo, gdyż pobrałeś drugą kopię i Windows przypisał antykolizyjną nazwę = nazwa FRST64(1).exe nie jest blokowana: (Farbar) C:\Users\ALBI\Downloads\FRST64(1).exe A reklamę przy starcie produkuje ten wpis: HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware Ask Shopping Toolbar oraz podejrzany Tibia MULTI-ip changer. - Stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Shockwave Player 12.1, Akamai NetSession Interface, AVG Web TuneUp, Splashtop Connect for Firefox, Splashtop Connect IE. 2. Pobierz najnowszy FRST i zmień mu nazwę na dowolną. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe IFEO\AnVir.exe: [Debugger] svchost.exe IFEO\AutoLogger.exe: [Debugger] svchost.exe IFEO\avz.exe: [Debugger] svchost.exe IFEO\CCleaner.exe: [Debugger] svchost.exe IFEO\CCleaner64.exe: [Debugger] svchost.exe IFEO\FRST.exe: [Debugger] svchost.exe IFEO\FRST64.exe: [Debugger] svchost.exe IFEO\HiJackThis.exe: [Debugger] svchost.exe IFEO\regedit.exe: [Debugger] svchost.exe IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSIT.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit HKLM-x32\...\Run: [ZyngaGamesAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe" HKU\S-1-5-21-1777344016-223336502-1957142066-1000\...\Run: [LG LinkAir] => [X] Task: {0960617B-B89C-4131-BE6C-E1436CC57DE1} - System32\Tasks\{E58E33E5-2AB6-4F6D-A186-D842B104BAB9} => pcalua.exe -a C:\Users\ALBI\Downloads\LeagueofLegends_EUNE_Installer_06_17_13.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\ALBI\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:5892 Task: {1E6554B2-7BCA-442E-8B69-BABA855D5C6C} - System32\Tasks\{3E2464A1-58DD-4A55-8FF6-20E8D7E2383E} => pcalua.exe -a "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\APNSetup.exe" -d C:\Windows\system32 -c /ucheck=ORJ /cbid=^U3 /dtid=^OSJ000^YY^PL /guid=940AF103-EECB-4426-B3A6-86DE712D48DD /pvresion=12.10.6.60 /platform=V7 Task: {30B92BFF-FB2C-406C-9B84-B499C9B13AC6} - System32\Tasks\{60D15184-8D98-4F6C-9F77-FB72D8350FD8} => pcalua.exe -a C:\Users\ALBI\Downloads\gfwlivesetup.exe -d C:\Users\ALBI\Downloads Task: {5AD8AB46-85B0-42D9-8694-C542333C22AB} - System32\Tasks\{5A690342-97E2-4FE1-AE39-0C9C8B60E8AB} => pcalua.exe -a "D:\Program Files (x86)\Codemasters\FUEL\GameSetup.exe" -d "D:\Program Files (x86)\Codemasters\FUEL" Task: {7E9AC423-A711-4336-91F8-53C8D560B484} - System32\Tasks\{567BB1A8-B8C6-485F-BAD0-A103841526F0} => pcalua.exe -a C:\Users\ALBI\Desktop\pbsetup.exe -d C:\Users\ALBI\Desktop Task: {C23DAFFE-2B58-4A23-9039-0F762E4FE21B} - System32\Tasks\{06950282-B277-432F-884D-0C14FBC339B3} => pcalua.exe -a C:\Users\ALBI\Downloads\NexonEU_Installer.exe -d C:\Users\ALBI\Downloads Task: {F011FA9A-EAB8-4EF0-AE71-884770DC2D99} - System32\Tasks\{B2A796AD-159B-4E31-8928-01DFB95BDEEE} => pcalua.exe -a C:\Users\ALBI\Downloads\CurseClientSetup.exe -d C:\Users\ALBI\Downloads Task: {FE055A1B-F659-4AD0-BB9B-AC0FC225553F} - System32\Tasks\{7BAFE834-ED10-48BC-AAB3-BFE29D0C0B3F} => pcalua.exe -a C:\Users\ALBI\Downloads\pbsetup.exe -d C:\Users\ALBI\Downloads S4 LMIRfsClientNP; No ImagePath S3 ALSysIO; \??\C:\Users\ALBI\AppData\Local\Temp\ALSysIO64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S2 LMIInfo; \??\D:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\21338990.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\21338990.sys => ""="Driver" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141013 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141013 HKU\S-1-5-21-1777344016-223336502-1957142066-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={4D362D25-F19D-48F7-AED2-A650065BBD02}&mid=996225d4cb1647d2b20e81ac0f21a2cc-c343ff5a1fbe258d1f8c3f518f630eb193fa08af&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215av&pr=fr&d=2015-03-13 10:24:49&v=4.1.0.411&pid=wtu&sg=&sap=hp HKU\S-1-5-21-1777344016-223336502-1957142066-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-1777344016-223336502-1957142066-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie URLSearchHook: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {4CD4B81E-EFE3-478a-AE16-D6E1F5DDC596} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={4D362D25-F19D-48F7-AED2-A650065BBD02}&mid=996225d4cb1647d2b20e81ac0f21a2cc-c343ff5a1fbe258d1f8c3f518f630eb193fa08af&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415tb&pr=fr&d=2015-03-13 10:24:49&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {DC7A58EC-3162-4b07-A45A-65DA977396C5} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {FCDA4D90-0551-4518-9F07-E095278C5CFE} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=940AF103-EECB-4426-B3A6-86DE712D48DD&apn_sauid=B4FA79D0-F7E1-4B33-ACA4-6D7820C98418 SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKLM-x32 - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @qq.com/TXSSO -> C:\Program Files (x86)\Common Files\Tencent\TXSSO\1.2.1.94\Bin\npSSOAxCtrlForPTLogin.dll [2013-01-25] (Tencent) FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1} FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0} FF HKLM-x32\...\Firefox\Extensions: [{d9284e50-81fc-11da-a72b-0800200c9a66}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66} Winsock: Catalog5 01 mswsock.dll File Not found ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 02 mswsock.dll File Not found ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 02 mswsock.dll File Not found ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{10B916CD-C572-414F-96AD-37D7CDF95DD8} C:\ProgramData\Microsoft\Windows\GameExplorer\{E8AE0286-9A63-4F4F-B479-0E4E4A2A8EB5} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Client.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Control Panel.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BaboViolent 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Daum Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dying Light C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Forward Development C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gamepires C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mumble C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nordic Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Map Viewer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Z8Games C:\Users\ALBI\Cata.lnk C:\Users\ALBI\putty.exe C:\Users\ALBI\AppData\Local\{1B1DE854-AEB3-4CC3-BEC9-523EEA050086} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{34A3BE74-871A-49BA-8608-55992860E8B2} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{3A4CE3B0-7348-472A-9DE8-7E0E74A4DE70} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{B5CF9AEB-F3A2-4ED6-8BB6-4BBB7F49AB0C} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{CCEE7874-A63B-41A4-A1C7-CACA045250B1} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{CF6D06B7-AB97-4D15-BDAA-CE0571BB3F9C} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{ECA8ACF4-E1CA-44BD-A5A4-040A7895452F} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{EF89F068-248D-4EBC-BA95-43789CCDC9BB} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{F01CB989-50DB-4937-ACE8-400205EFDF9C} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{F9C2CC4E-731E-4A54-86C7-83EEC06A499E} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{FD624853-148D-4EB8-994D-F9E986D21274} C:\Users\ALBI\AppData\Roaming\Babylon C:\Users\ALBI\AppData\Roaming\Logs C:\Users\ALBI\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\ALBI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dead Horde PL [ROKA1969] C:\Users\ALBI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gamepires C:\Users\ALBI\AppData\Roaming\Opera Software C:\Users\ALBI\AppData\Roaming\Splashtop C:\Users\ALBI\AppData\Roaming\Tencent C:\Users\ALBI\AppData\Roaming\WebExtend C:\Users\ALBI\Documents\Rainmeter\Skins\WP7\@Resources\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.15 00.00-15\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.15 00.00-15\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.31-00\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.31-00\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.28-55\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.28-55\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.28-55\WP7\Background\refresh.exe - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.02-14\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.02-14\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 21.09-36\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 21.09-36\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.49-43\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.49-43\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.44-51\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.44-51\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.22-53\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.22-53\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Gry\Bejeweled 3.lnk C:\Users\ALBI\Gry\BlackGold.lnk C:\Users\ALBI\Gry\City Car Driving.lnk C:\Users\ALBI\Gry\Colin McRae Rally Remastered.lnk C:\Users\ALBI\Gry\Cossacks - Back To War 1.35PL - KOZACY.ORG.lnk C:\Users\ALBI\Gry\Counter-Strike.lnk C:\Users\ALBI\Gry\Crysis3.exe — skrót.lnk C:\Users\ALBI\Gry\Dragon Age Origins.lnk C:\Users\ALBI\Gry\Drakensang Online.lnk C:\Users\ALBI\Gry\FlatOut 2.lnk C:\Users\ALBI\Gry\Need For Speed Rivals.lnk C:\Users\ALBI\Gry\Play Survarium.lnk C:\Users\ALBI\Gry\Tunngle beta.lnk C:\Users\ALBI\Programy\CloneDVD2.lnk C:\Users\Default\AppData\Roaming\TuneUp Software CMD: netsh advfirewall reset CMD: netsh winsock reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W menedżerze urządzeń jest wadliwy obiekt, pozostałość komercyjnej wersji: ==================== Faulty Device Manager Devices ============= Name: avast! Firewall NDIS Filter Miniport Description: avast! Firewall NDIS Filter Miniport Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: ALWIL Software Service: aswNdis Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > wyszukaj avast! Firewall NDIS Filter Miniport, zaznacz i odinstaluj, zresetuj system. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

To na pewno log po deinstalacji SpyBota? W logu nadal widać czynny program... Jeśli chodzi o adware, wygląda na usunięte. Teraz uruchom AdwCleaner, na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Ale zaraz, nie miałeś tego usuwać ręcznie, przecież ja w skrypcie FRST załączyłam usuwanie tego pliku! Jak byk stoi ścieżka: C:\Program Files (x86)\Mozilla Firefox\browser\defaults, załączona cała bo ta ścieżka domyślnie nie istnieje. W ogóle nie wykonałeś punktu numer 1, stąd nie było zmian. W skrypcie było też znacznie więcej rzeczy do wykonania. Tak więc, co się działo że punkt numer 1 nie został wykonany wcale? Powtarzaj punkty 1 oraz 4. To znaczy?

W systemie działa adware TermBlazer. Przy okazji, próbując rozwiązać problem pobierałeś: - YAC (Yet Another Cleaner) = program z czarnej listy i złodziej: KLIK. - Spybot - Search & Destroy z portalu dobreprogramy.pl, a to co pobrałeś jako plik początkowy to nie był instalator właściwy tylko śmieć portalowy "Asystent pobierania" - więcej na ten temat: KLIK. C:\Users\Zbyszek\Desktop\Spybot-Search-Destroy(12546)-dp.exe Akcje do przeprowadzenia: 1. Rozpocznij od deinstalacji adware via Panel sterowania: TermBlazer, PragmaEngine. Przy okazji odinstaluj też stare werje Java 7 Update 67, Java 8 Update 25 oraz zbędny przestarzały Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk [2014-08-23] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Jarosław\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-23] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Jarosław\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-23] ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} URLSearchHook: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 - SearchMe Toolbar - {B9C767DD-F66A-40B4-8F12-4199A9A4393C} - No File SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKLM -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 -> DefaultScope {AD89B854-D8E3-4BAF-95D4-768B02086866} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 -> {AD89B854-D8E3-4BAF-95D4-768B02086866} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Task: {26795CAE-2FF6-4DE7-A258-4852BE051BDD} - System32\Tasks\Chromium => C:\Users\Jarosław\AppData\Local\Chromium\Application\uninstall.exe [2015-05-20] () Task: {7CF25556-C851-4EEA-9300-EE7522984659} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {93400E6A-EFFC-462A-B438-67A14DC11A46} - \Optimize Start Menu Cache Files-S-1-5-21-2702069576-3377963828-517850969-1002 No Task File Task: {E6078781-991A-412C-806D-BD8B26527FDA} - \Optimize Start Menu Cache Files-S-1-5-21-2702069576-3377963828-517850969-1009 No Task File Task: {F841D911-66B2-4527-83FB-37761447B924} - System32\Tasks\MdmUpdateTaskMachineCore => C:\Users\Jarosław\AppData\Roaming\Toadwater JTWC\Caches\mdm [2015-04-21] () Task: C:\WINDOWS\Tasks\Chromium.job => C:\Users\JAROSA~1\AppData\Local\Chromium\APPLIC~1\UNINST~1.EXE S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\PragmaEngine C:\ProgramData\14440415289341703812 C:\ProgramData\freedealsapp C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\Users\Jarosław\AppData\Local\Gameo C:\Users\Jarosław\AppData\Local\Chromium C:\Users\Jarosław\AppData\Roaming\appdataFr3.bin C:\Users\Jarosław\AppData\Roaming\appdataFr25.bin C:\Users\Jarosław\AppData\Roaming\Elex-tech C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\Jarosław\Desktop\*(*)-dp*.exe C:\Users\Jarosław\Downloads\*(*)-dp*.exe C:\Users\Zbyszek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Zbyszek\AppData\Local\Mozilla C:\Users\Zbyszek\AppData\Roaming\appdataFr3.bin C:\Users\Zbyszek\AppData\Roaming\appdataFr25.bin C:\Users\Zbyszek\AppData\Roaming\Mozilla C:\Users\Zbyszek\Desktop\Driver Cleaner 3.lnk C:\Users\Zbyszek\Desktop\*(*)-dp*.exe C:\Users\Zbyszek\Downloads\*(*)-dp*.exe C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys C:\WINDOWS\system32\log RemoveDirectory: C:\Users\jar3k_000 CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są aż trzy konta: ==================== Accounts: ============================= Jarosław (S-1-5-21-2702069576-3377963828-517850969-1001 - Administrator - Enabled) => C:\Users\Jarosław Piotrek (S-1-5-21-2702069576-3377963828-517850969-1009 - Administrator - Enabled) Zbyszek (S-1-5-21-2702069576-3377963828-517850969-1005 - Administrator - Enabled) => C:\Users\Zbyszek Wymagane raporty z każdego po kolei, z tym że Piotrek wygląda jak konto w ogóle nie zainicjowane jeszcze lub uszkodzone (brak ścieżki na dysku), więc to konto pomiń i po prostu usuń je via Panel sterowania całkowicie. Zaloguj się po kolei na Jarosława oraz Zbyszka poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika), na każdym zrób nowe logi FRST z opcji Scan (zaznacz pola Addition i Shortcut) - czyli ma powstać 6 logów. Dołącz też plik fixlog.txt.

Rucek, temat na razie zostawiam otwarty, do czasu potwierdzenia co widać w autoryzowanych aplikacjach na Facebooku oraz czy spam nadal ma miejsce.

DelFix wykonał zadanie. Usuń z dysku plik C:\Delfix.txt. W raporcie były widoczne dwa pliki GMER: 2015-05-24 23:05 - 2014-01-28 19:36 - 00380416 _____ () C:\Users\Przemek\Desktop\gmer.exe 2015-05-24 23:02 - 2015-05-24 23:02 - 00380416 _____ () C:\Users\Przemek\Downloads\xsg2n8de.exe I nic więcej nie powinno być od GMER na dysku. O jakich wynikach mowa / gdzie? Nie, nie zadałam czyszczenia partycji Recovery. To co innego niż systemowe Przywracanie systemu. A Przywracanie jako takie w ogóle nie powinno być czynne na partycji Recovery (domyślnie tylko systemowa temu podlega). Nic nie grzeb.

"Niekompatybilny program". Skutkiem tych operacji deinstalacyjnych jest pojawienie się nowego zadania w Harmonogramie. Zajmę się jego usuwaniem potem. Task: {2B249E86-CACC-4AFD-A696-5D10CD1937BA} - System32\Tasks\{50EE199C-3573-475E-9D58-842C71A1309C} => pcalua.exe -a "C:\Users\Ania\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Tak, gdyż w skrypie FRST została załączona komenda "netsh advfirewall reset" = reset reguł Zapory systemu Windows. W związku z tym programy wymagające dostępu do sieci muszą być ponownie autoryzowane. Ogólnie zadania pomyślnie wykonane. Od adware "Sale Charger" ostał się jeszcze jeden pusty wpis. Teraz uruchom AdwCleaner, na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.