picasso

W systemie zagnieździło się niepożądane oprogramowanie Mintcastnetworks i The Forest Public Alpha v0.13b-3DM, w Firefox jest też adware youtubeadblocker i UniDeaalsi. Operacje do przeprowadzenia: NA KONCIE TOMEK: 1. Przez Panel sterowania odinstaluj adware Mintcastnetworks-bogard 1.0.0.0 oraz stare wersje Java 7 Update 67, Java 8 Update 25. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {BEE4C195-30B4-4256-90E7-920DF2095621} - System32\Tasks\{3DC2FB3F-AF21-4641-9130-6EC2F35F6BC3} => pcalua.exe -a C:\Users\Tomek\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt HKLM-x32\...\Run: [Andy] => C:\Program Files\Andy\HandyAndy.exe Startup: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\The Forest Public Alpha v0.13b-3DM.lnk CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-606281877-1479866930-3929170589-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll No File S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files\Mintcastnetworks-bogard C:\Program Files (x86)\Opera C:\Program Files (x86)\UniDeaalsi C:\ProgramData\{38725ec5-0ad6-62fe-3872-25ec50ad7b14} C:\ProgramData\837574326449480470 C:\Users\Mateusz\AppData\Local\Opera Software C:\Users\Mateusz\AppData\Roaming\cpuminer C:\Users\Mateusz\AppData\Roaming\Opera Software C:\Users\Mateusz\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NA KONCIE MATEUSZ: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Nie ma tu żadnych oznak infekcji tego rodzaju. Wstępnie, nie sądzę, że tu chodzi o infekcję w Twoim systemie, lecz o problem sieci w której jesteś, tzn. jedno z dwóch: - W sieci jest jeden zewnętrzy IP pod którym wychodzi cała gromada użytkowników (mają wewnętrzne IP), infekcja jest na jednym z komputerów, ale będąc widocznym pod jednym wspólnym IP dostaje się wszystkim którzy są pod nim widziani. - Losowo został przydzielony wprawdzie adres puli publicznej, ale adres ten był już w użyciu (inny komputer zbanowany). Rozwiązanie: zmiana IP. Widzę Cię na forum pod IP UPC: 83.144.83.102. To IP nie jest unikatowe, szukanie na Google zwraca pewne wyniki użytkowników postujących na forach, co wskazuje, że to współdzielone lub "ponownie użyte" IP. W teorii UPC niby przyznaje adresy publiczne (KLIK), ale były incydenty z przyznaniem prywatnych (KLIK). Temat przenoszę na konsultację do działu Sieci. Materiały wymagane działem: KLIK. Przy okazji, w Firefox jest ustawiona autodetekcja proxy zamiast połączenia bezpośredniego: FF NetworkProxy: "type", 4

Sa pewne kluczowe usługi których nie można konfigurować, a Harmonogram jest jedną z nich. Nie wiadomo co wyłączyło u Ciebie usługę. Reaktywacja usługi: Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

Za późno zedytowałam (ujęcie w cudzysłów). Przepuść jeszcze Fix o takiej zawartości: Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/bmp" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/gif" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/jpeg" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/png" /s

Fix FRST uruchomiłeś więcej niż raz, to jest Fix jednorazowego użytku i nie przetworzy ponownie tych samych wejść. W AdwCleaner uruchom sekwencję Szukaj + Usuń. Skoro problem jest niezależny od konta, usterka jest globalna. Nasuwa się trop uszkodzonych rejestracji rozszerzeń plików graficznych. Podaj więcej danych - do Notatnika wklej: Reg: reg query HKLM\SOFTWARE\Classes\.bmp /s Reg: reg query HKLM\SOFTWARE\Classes\.gif /s Reg: reg query HKLM\SOFTWARE\Classes\.jpe /s Reg: reg query HKLM\SOFTWARE\Classes\.jpeg /s Reg: reg query HKLM\SOFTWARE\Classes\.jpg /s Reg: reg query HKLM\SOFTWARE\Classes\.png /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{098f2470-bae0-11cd-b579-08002b30bfeb} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{25336920-03F9-11CF-8FD0-00AA00686F13} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{607fd4e8-0a03-11d1-ab1d-00c04fc9b304} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/bmp" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/gif" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/jpeg" /s Reg: reg query "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\image/png" /s Reg: reg query HKLM\SOFTWARE\Classes\giffile /s Reg: reg query HKLM\SOFTWARE\Classes\jpegfile /s Reg: reg query HKLM\SOFTWARE\Classes\pngfile /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Zappa, jeśli tylko tego brakuje, to plik możesz utworzyć. Zapisz poniższą treść jako Config.xml: <?xml version="1.0"?> <services refresh="60"> <service name="weather"> <operation interval="30"/> <languages> <lang> ar-ae </lang> <lang> ar-bh </lang> <lang> ar-dz </lang> <lang> ar-eg </lang> <lang> ar-iq </lang> <lang> ar-jo </lang> <lang> ar-kw </lang> <lang> ar-lb </lang> <lang> ar-ly </lang> <lang> ar-ma </lang> <lang> arn-CL </lang> <lang> ar-om </lang> <lang> ar-qa </lang> <lang> ar-sa </lang> <lang> ar-SY </lang> <lang> ar-tn </lang> <lang> ar-ye </lang> <lang> az-AZ </lang> <lang> bs-BA </lang> <lang> cs-CZ </lang> <lang> cy-GB </lang> <lang> da-DK </lang> <lang> de-AT </lang> <lang> de-CH </lang> <lang> de-DE </lang> <lang> de-LI </lang> <lang> de-LU </lang> <lang> dsb-DE </lang> <lang> el-GR </lang> <lang> en-AU </lang> <lang> en-CA </lang> <lang> en-GB </lang> <lang> en-IE </lang> <lang> en-IN </lang> <lang> en-MY </lang> <lang> en-NZ </lang> <lang> en-PH </lang> <lang> en-SG </lang> <lang> en-US </lang> <lang> en-ZA </lang> <lang> es-AR </lang> <lang> es-BO </lang> <lang> es-CL </lang> <lang> es-CO </lang> <lang> es-CR </lang> <lang> es-DO </lang> <lang> es-EC </lang> <lang> es-ES </lang> <lang> es-GT </lang> <lang> es-HN </lang> <lang> es-MX </lang> <lang> es-NI </lang> <lang> es-PA </lang> <lang> es-PE </lang> <lang> es-PR </lang> <lang> es-PY </lang> <lang> es-SV </lang> <lang> es-US </lang> <lang> es-VE </lang> <lang> et-EE </lang> <lang> fi-FI </lang> <lang> fil-PH </lang> <lang> fo-FO </lang> <lang> fr-BE </lang> <lang> fr-CA </lang> <lang> fr-CH </lang> <lang> fr-FR </lang> <lang> fr-LU </lang> <lang> fr-MC </lang> <lang> fy-NL </lang> <lang> ga-IE </lang> <lang> he-IL </lang> <lang> hi-IN </lang> <lang> hr-HR </lang> <lang> hu-HU </lang> <lang> id-ID </lang> <lang> is-IS </lang> <lang> it-CH </lang> <lang> it-IT </lang> <lang> iu-CA </lang> <lang> ja-JP </lang> <lang> kl-GL </lang> <lang> lb-LU </lang> <lang> lt-LT </lang> <lang> lv-LV </lang> <lang> mi-NZ </lang> <lang> nb-NO </lang> <lang> nl-BE </lang> <lang> nl-NL </lang> <lang> nn-NO </lang> <lang> pl-PL </lang> <lang> pt-BR </lang> <lang> pt-PT </lang> <lang> qut-GT </lang> <lang> quz-BO </lang> <lang> quz-EC </lang> <lang> quz-PE </lang> <lang> rm-CH </lang> <lang> ro-RO </lang> <lang> ru-RU </lang> <lang> se-FI </lang> <lang> se-NO </lang> <lang> se-SE </lang> <lang> sk-SK </lang> <lang> sl-SI </lang> <lang> sma-NO </lang> <lang> sma-SE </lang> <lang> smj-NO </lang> <lang> smj-SE </lang> <lang> smn-FI </lang> <lang> sms-FI </lang> <lang> sr-CS </lang> <lang> sv-SE </lang> <lang> th-TH </lang> <lang> tr-TR </lang> <lang> uk-UA </lang> <lang> ur-PK </lang> <lang> wen-DE </lang> <lang> zh-SG </lang> </languages> </service> <service name="stocks"> <operation interval="15"/> </service> <service name="currency"> <operation interval="30"/> </service> </services>

Zaczynamy od czyszczenia, format zawsze można przeprowadzić przy braku zadawalających rezultatów. Problem ze sterownikami grafiki prawdopodobnie wynika z obecności konfliktowych sterowników adware - jest aż 13 (!) takich sterowników ładowanych. Dodatkowo: cała przeglądarka Google Chrome musi zostać przeinstalowana od zera, adware ją przekonwertowało z wersji stabilnej do developerskiej. Akcja: 1. Przez Panel sterowania odinstaluj: - Adware: Hold Page, Internet Speed Checker, RandomDealApp, Remote Desktop Access (VuuPC), sweet-page uninstall, WindowsMangerProtect20.0.0.1277, WSE_Vosteran. - Zbędniki i poszkodowaną przeglądarkę: Adobe Shockwave Player 12.1, DriverEasy 3.11.3, Google Chrome, NVIDIA ForceWare Network Access Manager, SpyHunter, SpyHunter 4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64; C:\Windows\System32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys [48784 2014-12-09] (StdLib) R1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [48784 2014-12-21] (StdLib) R1 {2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64; C:\Windows\System32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64.sys [48784 2014-12-07] (StdLib) R1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [48784 2014-12-31] (StdLib) R1 {507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64; C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys [48776 2014-12-05] (StdLib) R1 {84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64; C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys [48784 2015-01-04] (StdLib) R1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64; C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys [48784 2015-01-05] (StdLib) R1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [48784 2014-12-13] (StdLib) R1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [48784 2014-12-27] (StdLib) R1 {ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64; C:\Windows\System32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys [48784 2014-12-25] (StdLib) R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [48776 2014-11-29] (StdLib) R1 {f2f2c4d5-f6ac-4c21-8cea-257783669e49}Gw64; C:\Windows\System32\drivers\{f2f2c4d5-f6ac-4c21-8cea-257783669e49}Gw64.sys [48776 2014-11-28] (StdLib) R1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [48784 2014-12-18] (StdLib) S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT Task: {20D97CD1-A735-41C7-B0B2-4B95F8811BEA} - System32\Tasks\{8B0ADA23-6339-4A92-BA17-8BD048CC3740} => pcalua.exe -a C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe -c /S Task: {2881B310-63B1-4578-9210-8E6329411CE3} - System32\Tasks\{6540ED2A-C93A-41D0-B771-3AAF5B282D0D} => pcalua.exe -a "C:\Users\kubos\Downloads\Nero Free 9.4.12.3d [1].exe" -d C:\Users\kubos\Downloads Task: {31F970C7-95CA-42D8-B4DB-382BC87E7E51} - System32\Tasks\fc6a064f-a2dd-4cc3-9a73-369f24d55904 => C:\Program Files (x86)\Internet Speed Checker\fc6a064f-a2dd-4cc3-9a73-369f24d55904.exe Task: {42501103-E946-4E04-81B4-8D5AD39D48AA} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-5_user => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-5.exe Task: {6516DC79-98C6-4D96-BFE9-BD862D139235} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-11 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-11.exe Task: {6569D626-D40F-4525-8673-8ABEB0BAD5D9} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {8B441A5E-CFFD-4911-8036-1F5134295F86} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-1 => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: {939C71BB-234E-4F60-9F58-C4B129EAA116} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-6 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-6.exe Task: {97D052A8-3A56-49A6-8271-E6DBA4BC0F24} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {AE4FCE2A-A072-4540-84E2-676C2D494006} - System32\Tasks\WSE_Vosteran => C:\Users\kubos\AppData\Roaming\WSE_VO~1\UPDATE~1\UPDATE~1.EXE Task: {B5795390-4024-4ADB-B06D-2C2DC60A3422} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-7 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-7.exe Task: {BE1350EB-A9BF-4A46-9B1D-BFFD817DE58F} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {D7AB393A-9F53-4225-92BF-5E3DCCC9E9DC} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-4 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-4.exe Task: {DE514776-EE0F-439D-9774-92F70F5D32CE} - System32\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-5 => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-5.exe Task: {FD1608F1-C577-4570-BABF-47F4B4D51FD5} - System32\Tasks\9472bf32-801e-4380-a93a-312d3363a0e3 => C:\Program Files (x86)\Internet Speed Checker\9472bf32-801e-4380-a93a-312d3363a0e3.exe Task: C:\Windows\Tasks\9472bf32-801e-4380-a93a-312d3363a0e3.job => C:\Program Files (x86)\Internet Speed Checker\9472bf32-801e-4380-a93a-312d3363a0e3.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-1.job => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-11.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-11.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-4.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-4.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-5.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-5.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-5_user.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-5.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-6.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-6.exe Task: C:\Windows\Tasks\abcbc285-3637-41b2-832a-af47b6df0881-7.job => C:\Program Files (x86)\Internet Speed Checker\abcbc285-3637-41b2-832a-af47b6df0881-7.exe Task: C:\Windows\Tasks\fc6a064f-a2dd-4cc3-9a73-369f24d55904.job => C:\Program Files (x86)\Internet Speed Checker\fc6a064f-a2dd-4cc3-9a73-369f24d55904.exe/agentregpath='Internet Speed Checker' /appid=61752 /srcid='001726' /subid='0' /zdata='0' /bic=0F0585D1A52C44C2B41A5CE792074BC2IE /verifier=9e3f5c19e8c89e01b16a0281ad9e9ad1 /installerversion=1_35_09_29 /installationtime=1416664547 /statsdomain=http://stats.newonlinedemoserv.com /errorsdomain=http://errors.newonlinedemoserv.com /extensionname='Information' /torpedoiesleeps=1000 /torpedoieplugins=93-0,102-0,104-0,178-288,179-288,180-288,223-288,263-24 /monetizationdomain=http://logs.newonlinedemoserv.com HKU\S-1-5-18\...\Run: [DevconDefaultDB] => C:\Windows\system32\READREG /SILENT /FAIL=1 AppInit_DLLs-x32: _c:\progra~2\search~1\search~1\bin\vc32lo~1.dll => "c:\progra~2\search~1\search~1\bin\vc32lo~1.dll" File Not Found ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1364691054-2715564713-2932916954-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKU\S-1-5-21-1364691054-2715564713-2932916954-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=00032955&OHP=http%3A%2F%2FVosteran.com%2F%3Ff%3D1%26a%3Dvst_aw_14_48_ie%26cd%3D2XzuyEtN2Y1L1QzutDtDtD0F0E0AyD0Czz0AzyzytAyByC0FtN0D0Tzu0StCtDyCyEtN1L2XzutAtFyCtFyCtFtDtN1L1Czu0C0I0S0V0E0R1V1BtN1L1G1B1V1N2Y1L1Qzu2SyCyEtBtCtAyCtBzytGtAtA0C0FtGtCzz0F0BtG0ByDtB0AtGtA0EtAtDyBtBtCtDzz0Czz0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzyyC0B0EzytAzztGtDtCtCtBtGyE0B0DtAtG0AyBtC0CtG0C0B0CyB0B0FzztDtA0AtA0B2Q%26cr%3D112183739%26ir%3D&OSP=http%3A%2F%2FVosteran.com%2Fresults.php%3Ff%3D4%26q%3D{searchTerms}%26a%3Dvst_aw_14_48_ie%26cd%3D2XzuyEtN2Y1L1QzutDtDtD0F0E0AyD0Czz0AzyzytAyByC0FtN0D0Tzu0StCtDyCyEtN1L2XzutAtFyCtFyCtFtDtN1L1Czu0C0I0S0V0E0R1V1BtN1L1G1B1V1N2Y1L1Qzu2SyCyEtBtCtAyCtBzytGtAtA0C0FtGtCzz0F0BtG0ByDtB0AtGtA0EtAtDyBtBtCtDzz0Czz0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzyyC0B0EzytAzztGtDtCtCtBtGyE0B0DtAtG0AyBtC0CtG0C0B0CyB0B0FzztDtA0AtA0B2Q%26cr%3D112183739%26ir%3D SearchScopes: HKLM -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = SearchScopes: HKU\S-1-5-21-1364691054-2715564713-2932916954-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKU\S-1-5-21-1364691054-2715564713-2932916954-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = BHO-x32: Hold Page 1.0.0.7 -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> C:\Program Files (x86)\Hold Page\HoldPageBHO.dll No File BHO-x32: ruealdEal -> {914eceaa-4582-4925-891d-1b356511fc4f} -> C:\Program Files (x86)\ruealdEal\oR4mmrqaUf7kxy.dll No File BHO-x32: sAvinngttoYooU -> {a5a20214-55dc-484d-8d8e-fd236e9bfd85} -> C:\Program Files (x86)\sAvinngttoYooU\u49bid3w2SzBJI.dll No File FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll No File FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll No File C:\Program Files (x86)\02b93d75-5ec8-462c-851f-5d91d227cd32 C:\Program Files (x86)\BocaInit C:\Program Files (x86)\dealsterr C:\Program Files (x86)\GeoSurf C:\Program Files (x86)\Google C:\Program Files (x86)\ruealdEal C:\Program Files (x86)\saViNesuhop C:\Program Files (x86)\savingtoyoouu C:\Program Files (x86)\sAvinngttoYooU C:\ProgramData\11127976247202785533 C:\ProgramData\600440862 C:\ProgramData\AVAST Software C:\ProgramData\RandomDealApp C:\Users\kubos\AppData\Local\Kosong.Bron.Tok.txt C:\Users\kubos\AppData\Local\Google C:\Users\kubos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\kubos\Desktop\Play Games Online.url C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\Windows\system32\2015-*.log C:\Windows\System32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys C:\Windows\System32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64.sys C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys C:\Windows\System32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys C:\Windows\System32\drivers\{f2f2c4d5-f6ac-4c21-8cea-257783669e49}Gw64.sys C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\kubos\AppData\Local CMD: dir /a C:\Users\kubos\AppData\LocalLow CMD: dir /a C:\Users\kubos\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy notujesz problemy.

Coś mi się wydaje, że postąpiłeś inaczej niż podałam, bo Hitman nie miał być używany do usuwania. Wyniki skryptu FRST: nie znalazł ani jednego obiektu wskazywanego przez Hitman. Wyniki AdwCleaner: 1. Zgłasza zastrzeżenie do rozszerzenia Speed Dial 2 zamontowanego w Google Chrome. Na wszelki wypadek odinstaluj w opcjach Google Chrome. Dopiero po przeprowadzeniu tego: 2. Uruchom ponownie AdwCleaner i zastosuj sekwencję Szukaj + Usuń.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Działania wstępne: KOMPUTER 1: Straszliwie zaśmiecony adware. Do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware/PUP: 337 GAMES, Linkey, Optimizer Pro v3.2, Settings Manager, SiteFinder, sweet-page uninstaller, Tiny Download Manager (remove only), webporpoise, WildWestCoupon, Yahoo! Search. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402574899&from=wpm0612&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT HKU\S-1-5-21-444939835-3135395253-820421808-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402574899&from=wpm0612&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKLM-x32 - SiteFinder - {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder) SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> DefaultScope {7044103A-03FC-4C29-A24E-18CE9315C759} URL = http://rts.dsrlte.com/?q={searchTerms}&r=531 SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> {7044103A-03FC-4C29-A24E-18CE9315C759} URL = http://rts.dsrlte.com/?q={searchTerms}&r=531 SearchScopes: HKU\S-1-5-21-444939835-3135395253-820421808-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13765&tm=299&src=ds&p={searchTerms} BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll No File BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.) BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File Toolbar: HKLM-x32 - SiteFinder - {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder) Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1396849159&from=sof&uid=TOSHIBAXMQ01ABD050_63HMT2NJTXX63HMT2NJT FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\quick_start@gmail.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\faststartff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\gzn5os3x.default\extensions\shortcutff@gmail.com FF HKU\S-1-5-21-444939835-3135395253-820421808-1001\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi Task: {0079F8E4-74EF-4216-A340-ED0787FE4FEA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {34019F4A-152E-48CF-99B5-71DBC1314C1C} - System32\Tasks\{44D51695-1F66-4A48-9AF1-2CD033A9A841} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.11.0.102&LastError=12002 Task: {373E7757-BF2F-43A6-A487-75CB2F8F4AF2} - System32\Tasks\Yahoo! Search => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe Task: {4531397B-238C-4BA8-BB0B-0D0523A57AFC} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {868580AB-0968-4604-8B42-4BB6F5610E57} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {A065307D-30FC-429D-912B-B77B57CB15C5} - System32\Tasks\PennyBee => C:\Users\karolina\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\PennyBee.job => C:\Users\karolina\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.) S1 MpKsla808b24a; C:\Windows\system32\MpEngineStore\MpKsla808b24a.sys [45352 2015-01-16] () [File not signed] BootExecute: autocheck autochk * C:\Program Files (x86)\Google C:\Program Files (x86)\Optimizer Pro C:\Program Files (x86)\Settings Manager C:\Program Files (x86)\SiteFinder C:\Users\Tomek\AppData\Local\Google C:\Users\Tomek\AppData\Local\Pay-By-Ads C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\MpEngineStore Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\karolina\AppData\Local CMD: dir /a C:\Users\karolina\AppData\LocalLow CMD: dir /a C:\Users\karolina\AppData\Roaming CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming CMD: dir /a C:\Users\weronika\AppData\Local CMD: dir /a C:\Users\weronika\AppData\LocalLow CMD: dir /a C:\Users\weronika\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Jest tu wiele kont: ==================== Accounts: ============================= karolina (S-1-5-21-444939835-3135395253-820421808-1005 - Limited - Enabled) => C:\Users\karolina Tomek (S-1-5-21-444939835-3135395253-820421808-1001 - Administrator - Enabled) => C:\Users\Tomek weronika (S-1-5-21-444939835-3135395253-820421808-1004 - Administrator - Enabled) => C:\Users\weronika Wymagane sprawdzenie każdego z osobna. Zaloguj się po kolei na każde poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika, na każdym zrób nowy log FRST z opcji Scan. Z każdego konta ma powstać para: główny FRST + Addition, natomiast na jednym z kont administracyjnych wystarczy utworzyć Shortcut tylko raz. Dodatkowa uwaga: na limitowanym koncie "karolina" FRST należy uruchomić przez dwuklik a nie opcją "Uruchom jako Administrator", by kontekst konta nie uległ zmianie. Dołącz też plik fixlog.txt. KOMPUTER 2: Czy na pewno problem nadal tu występuje? Czy było jakieś czyszczenie? Nic tu nie widać, żadnych oznak adware. Tylko kosmetyczne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] C:\END C:\Users\Tomek\AppData\Local\CrashRpt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Pokaż ten plik. 2. Zlikwiduj błąd WMI numer 10 posługując się narzędziem Fix-it: KLIK.

W tej sytuacji reset opcji internetowych jest już oczywiście zbędny. Zastosuj DelFix. Dotacje: klikalny link w mojej sygnaturze kieruje do tematu z danymi. Dzięki!

Odinstalować, a po tym zainstalować najnowsze linkowane w przyklejonym: KLIK. Swoją drogą ta operacja była zadana przed wykonaniem skryptu, gdyż skrypt miał komendę czyszczenia Tempów (objęłaby pliki stworzone przez ten proces). Obecnie zmieniłeś kolejność, co ma też wpływ na to, że w nowym raporcie FRST nie można ocenić czy reinstalacja się odbyła. Z tym, że to nie ma akurat znaczenia, gdyż: Nic w ogóle nie wykonane. Otwórz plik Fixlog i porównaj z moim postem. Wszystkie linie sklejone i nie zostały zinterpretowane jako polecenia. Do powtórzenia punkty 1 do 4. Plik Fixlist musi wyglądać jak w moim poście i mieć poprawne przejścia do nowej linii.

Proxy zostało usunięte. Możesz też spróbować zresetować ustawienia IE: Opcje internetowe > Zaawansowane > Resetuj. Czy na pewno otworzyłeś plik Config.xml i go zapisałeś bez dokonywania żadnych zmian w pliku? U mnie był ten sam błąd "Nie można połączyć się z usługą" i ta drobna operacja rozwiązała sprawę.

Z jakim modelem karty mamy do czynienia oraz czy jest to komputer od konkretnego producenta? Wg Addition są tu zainstalowane następujące wersje ATI (stara, teraz to AMD) i Intel: ATI Catalyst Install Manager (HKLM\...\{DA0D8FDA-D538-1145-8BA2-6F22C4EB4F75}) (Version: 3.0.816.0 - ATI Technologies, Inc.) Intel® Display Audio Driver (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3074 - Intel Corporation) A czy w ogóle jakiekolwiek BSODy się teraz pojawiają?

Możesz jeszcze dodatkowo wyłączyć inne programy ze startu. Uruchom Autoruns i odfajkuj następujące pozycje: - Karta Logon: Adobe ARM, DAEMON Tools Lite, GrooveMonitor, IAStorIcon, NvBackend, OnekeyStudio - Karta Services: Adobe ARM, c2cautoupdatesvc, c2cpnrsvc, GfExperienceService, NvNetworkService, NvStreamSvc, RichVideo64 - Karta Scheduled Tasks: Lenovo Experience Improvement, Maxthon Update PDVDServ Task Zresetuj system i podaj czy są jakieś wyraźniejsze zmiany. Potem możesz go spróbować przeinstalować. Nie jest wykluczone, że była to jakaś czkawka i po świeżej instalacji nie będzie problemu.

Mam silne wątpliwości czy to na pewno fałszywe alarmy. Skaner wykrył w przeważającej części pliki typu "instalatory", ich nazwy są mocno podejrzane (powtórzona nazwa programu jako nazwa pliku) - o ile to nie Twoja osobista maniera zmiany nazw plików instalacyjnych. Nazwy zagrożeń insynuują zintegrowane w instalatorze adware/sponsora, a nawet że niektóre pliki to nie instalatory zasadnicze lecz "downloadery" mające je dopiero pobrać. InstallCore to nic dobrego, to jest sponsoringowa platforma orientowana na podsuwanie ofert, platformę tę mogą używać instalatory zasadnicze oraz downloadery. Na dokładniejsze przejrzenie wyników potrzebuję czasu. Natomiast ten "keylogger" to jest zgodne ze stanem faktycznym - program Personal Monitor 2014 jest keyloggerem, a to że jest instalowany celowo to inna sprawa. Wystarczy z jednego Firefoxa, pewnie i tak dzielą ten sam profil na dysku. Daj mi czas na porównanie listy rozszerzeń z raportem, gruba lista. Fix FRST wykonany pomyślnie.

Nie wiem, gdyż nie jest pewne co robiło dziecko - mogło przecież po prostu zdeaktywować tymczasowo program, zignorować jakiś komunikat. Nie jest też wykluczone, że BitDefender wcale nie zareagował i puścił plik instalacyjny, a gdy on się już uruchomił było za późno. Można też dorzucić program Unchecky linkowany w końcowej partii tego artykułu: KLIK. Jeszcze jedna usługa śmieciarska mi umknęła, tzn. fałszywy "Microsoft Care Suite". Zobaczymy co się stanie po likwidacji tego czegoś. Przy okazji jeszcze do usunięcia odpadki (sterowniki) po instalacjach Hamachi i Steganos. Poprzednie zadania wykonane. Poprawki: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne tam połączenie sieciowe pobierz Właściwości > na liście używanych komponentów sprawdź czy nie ma czegoś w stylu TAP VPN lub Steganos lub Hamachi > jeśli cokolwiek w tym stylu znajdziesz, podświetl i odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: FF Plugin HKU\S-1-5-21-3916604919-2912353607-3506189148-1000: @tools.google.com/Google Update;version=3 -> C:\Users\dom\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File FF Plugin HKU\S-1-5-21-3916604919-2912353607-3506189148-1000: @tools.google.com/Google Update;version=9 -> C:\Users\dom\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File R2 ADUServiceNSRT; C:\Program Files\Common Files\Microsoft\Care Suite\ADUService\ADUService.exe [82568 2015-01-27] () [File not signed] S3 hamachi; C:\windows\System32\DRIVERS\hamachi.sys [26176 2015-01-14] (LogMeIn, Inc.) S3 tapavpn; C:\windows\System32\DRIVERS\tapavpn.sys [24320 2009-07-03] (Steganos GmbH) [File not signed] C:\Program Files\Common Files\Microsoft\Care Suite C:\Program Files\Microsoft Care Suite C:\windows\System32\DRIVERS\hamachi.sys C:\windows\System32\DRIVERS\tapavpn.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, zaprezentuj wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Który krok konkretnie rozwiązał sprawę? I nie dostarczyłeś pliku fixlog.txt z wynikai przetwarzania skryptu,

System może zostać zabrudzony nawet w dzień instalacji Windows. Wystarczy, że użytkownik podejmie próbę skompletowania programów i odwiedzi jakiś portal. Więcej na ten temat, link dla "testera": KLIK. Tak jest, dzięki. Plik był potrzebny, by rozwinąć argumenty wywoływane przez maszynę Wscript.exe. Poprawka już jest w FRST.

Skomentuję ten wątek, mimo że już rozwiązany. Tak się działo, gdyż: 1. W rejestrze był klucz reinstalujący rozszerzenie z Chrome Web Store: CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path "No Path" - to tylko FRST tak to przedstawiał i już kilka dni temu w FRST została załączona moja sugestia, by w przypadku braku Path (adres lokalny reinstalacji z dysku) drukować kolejny punkt reinstalacyjny rozszerzenia, a jest to wartość update_url (adres zdalny reinstalacji). Na 100% ten wpis miał wartość update_url kierującą na adres Chrome Web Store (hxxps://clients2.google.com/service/update2/crx). Sądzę, że drobna operacja usunięcia tego klucza rozwiązałaby sprawę od ręki. Gdyby jednak okazało się to niedostateczne: 2. Na dysku był też profil Chrome C:\Users\Joanna\AppData\Local\Google\Chrome\User Data\Default z plikiem Secure Preferences (chronione preferencje), w którym przypuszczalnie mogłaby być definicja tego rozszerzenia, czyli identyfikator flliilndjeohchalpbbcdekjklbdgfkk. Plik Secure Preferences jest charakterystyczny dla silników Chrome/Blink 37 i nowsze, a służy do ochrony preferencji przed modyfikacjami adware/PUP: KLIK. Ale czasem ten system zabezpieczeń powoduje niemożność trwałego pozbycia się czegoś. Podobny problem był tu z adware na forum. W takim przypadku niestety pozostaje pozbycie się profilu, bo samo usuwanie "Secure Preferences" budzi zastrzeżenia przeglądarki (zgłasza uszkodzenie, może nie być w stanie przebudować pliku). Nie pokazałaś tych wyników, więc nie jestem w stanie tego ocenić. Mam pytanie - czy dysk systemowy był rozmyślnie kompresowany? W raporcie dużo lokalizacji ma atrybut C = Compressed. Taka kompresja ścieżek, do których często uzyskuje się dostęp, może mieć wpływ na obniżenie wydajności (dłuższy dostęp do skompresowanych elementów). A w spoilerze korekty drobnostek (wpisy puste):

W GMER nic oczywistego. Jeszcze ten TDSSKiller trzeba sprawdzić. W kwestii ładowania stron: Czy na pewno odinstalowałeś przez Panel sterowania filtr stron Polipo? Czy w konfiguracji przeglądarki jest ustawione jakieś proxy?

Niestety z plikami nic nie da się zrobić. Na wszelki wypadek skopiuj te ważne na jakiś inny nośnik, bo i tak będzie tu rekursywne usuwanie wszystkich zaszyfrowanych plików z wszystkich katalogów. Czyli po skopiowaniu ważnych zaszyfrowanych kopii na inny nośnik: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic for Windows DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking BootExecute: autocheck autochk * sdnclean64.exe Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation) HKU\S-1-5-21-2927441721-3693689410-853391107-1000\...\MountPoints2: {75579b69-0bb2-11e2-993c-c0188519075a} - F:\AutoRun.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 3 RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\asus\AppData\Local\Adobe RemoveDirectory: C:\Users\asus\AppData\Local\Opera Software RemoveDirectory: C:\Users\asus\AppData\Roaming\Opera Software RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking CMD: attrib -r -h -s C:\*mfjfdmn* /s CMD: del /q /s C:\*mfjfdmn* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Przeprowadź skanowanie za pomocą Hitman Pro. Dostarcz wynikowy raport.

O jakim modelu routera to mowa? Czy skan oline zwraca pozytywny komunikat o braku dostępu z zewnątrz? Ponowienie czyszczenia cache DNA i Temp + inne drobnostki: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\...\Run: [Rundll32] => "C:\Program Files\SimCity Installer\64bit\hstart64.exe" /NOCONSOLE /IDLE /D="C:\Program Files\SimCity Installer\64bit\" "C:\Program Files\SimCity Installer\64bit\runall64.bat" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files (x86)\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Nastąpi restart, w folderze skąd uruchamiasz FRST powstanie kolejny fixlog.txt. Przedstaw go.

Przechodzimy do dalszej części czyszczenia. W międzyczasie nabawiłeś się kolejnego adware key-find i Internet program. Przypuszczalna droga nabycia to jakiś "downloader" portalowy": KLIK. Kolejna porcja zadań: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware/PUP: key-find uninstall, Qtrax Player, SHOUTcast Radio Toolbar, Softonic-Polska Toolbar. - Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 12.0, EXPERTool 7.5. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1409082233-651377827-1177238915-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V HKU\S-1-5-21-1409082233-651377827-1177238915-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V URLSearchHook: [s-1-5-21-1409082233-651377827-1177238915-1001] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKU\S-1-5-21-1409082233-651377827-1177238915-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms} BHO: Internet Program -> {ff0021ad-2cc3-4e0d-8e3c-b4153a64a495} -> C:\Program Files\Internet Program\Extensions\ff0021ad-2cc3-4e0d-8e3c-b4153a64a495.dll () Toolbar: HKLM - No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File Toolbar: HKU\S-1-5-21-1409082233-651377827-1177238915-1001 -> No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\nukl7zsu.default\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\nukl7zsu.default\extensions\faststartff@gmail.com Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{A68C16E5-74BB-40C8-8CD6-8C54B826F14E}.exe HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun ] 0 HKLM\...\Policies\Explorer: [NoViewContextMenu ] 0 HKU\S-1-5-21-1409082233-651377827-1177238915-1001\...\Run: [Clownfish] => [X] S4 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S1 ccnfd_1_10_0_5; system32\drivers\ccnfd_1_10_0_5.sys [X] S3 usbbus; system32\DRIVERS\lgusbbus.sys [X] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] S3 VHidMinidrv; system32\drivers\VHIDMini.sys [X] C:\Jumpshot C:\Documents and Settings\All Users\Dane aplikacji\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F024ED5C-33A4-469D-9CEA-B29D14E7F29C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{ED436EA8-4145-4703-AE5D-4D09DD24AF5A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CC41E216-BBA8-487F-8213-4AA2CFDF61A3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C28385C1-6D64-4F5A-AAAA-203C4EC383EA} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{901A8C82-9A9E-4B8B-B88A-C6E8EC41BB3A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{34D81777-850B-49BF-9A1E-84578F6FA5CD} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{32AA290A-D053-46F5-839A-CEF4479D9280} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{03A019EE-9BF6-4E7F-8460-A8FEBD03073B} C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Menu Start\Programy\cdp.pl C:\Documents and Settings\All Users\Menu Start\Programy\Windows Resource Kit Tools\Windows Resource Kit Tools Help.lnk C:\Documents and Settings\All Users\Pulpit\Farming Simulator 2013.lnk C:\Documents and Settings\SysOp\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\SysOp\Dane aplikacji\key-find C:\Documents and Settings\SysOp\Moje dokumenty\Euro Truck Simulator 2\readme.rtf.lnk C:\Documents and Settings\SysOp\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Common Files\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\Program Files\Internet Program C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\WINDOWS\jumpshot.com C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Hosts: CMD: ipconfig /flushdns CMD: netsh firewall reset Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Clownfish" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak jak mówię, zostaw tak jak jest, zresetuj system, by zaktualizował dane o DNS z routera. I pojedziemy dalej.

Tak, po to była aktualizacja firmware. Router był resetowany, zostało zaktualizowane firmware. Pytaniem jest: co widzisz w polach Primary i Secondary DNS? Jeśli nie figuruje tam adres szkodnika 195.238.181.164, to zostaw ustawienia w formie obecnej. Zresetuj system, zrób nowe logi FRST, a przejdę do dalszego czyszczenia (bufor DNS, adware).