picasso

Jest bez zmian. Na razie nie wiem jak to ugryźć. Gdy coś wymyślę, zgłoszę się.

Tak jak mówiłam, mamy tu źle doczyszczone adware i to nie tylko to zwracające błąd SysMenu.dll. Ale to nie koniec problemów - jest tu także niepoprawnie "odinstalowany" COMODO, który właściwie wygląda jak nie odinstalowany. Wszystkie sterowniki Comodo prują w tle. Jeśli używałeś do deinstalacji programu IOBit Uninstaller lub czegoś podobnego, to był błąd, powinno się używać natywny deinstalator COMODO (zasada tyczy też innych programów zabezpieczających). A sama firma IOBit nie jest godna zaufania, na sumieniu grzeszki (podejrzane związki partnerskie, adware w instalatorach, kradzież bazy MBAM w przeszłości). Ten IObit Malware Fighter słaby, a przy Avast kompletnie zbędny. Przeprowadź następujące działania: 1. Odinstaluj stare wersje i zbędniki: IObit Apps Toolbar v10.3 (adware od IOBit), IObit Malware Fighter, Java 8 Update 25, Java™ 6 Update 31, Surfing Protection. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne tam połączenie sieciowe pobierz Właściwości > na liście używanych komponentów podświetl pozycję COMODO, odinstaluj + restart systemu. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > wyszukaj zdefektowany szczątek po komercyjnej wersji avast! Firewall NDIS Filter Miniport > z prawokliku odinstaluj i zresetuj system. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: DisableService: cmderd DisableService: cmdGuard DisableService: cmdHlp DisableService: inspect R2 svcgdp; C:\Program Files (x86)\Software Plate\svcgdp.exe [224416 2012-07-02] (Beijing ELEX Technology Co., Ltd.) S2 CmdAgent; No ImagePath S3 cmdvirth; No ImagePath S0 sptd; No ImagePath S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] Task: {02A1542D-7D16-4DCE-AB12-C272E49A9CDE} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {43E4C5BE-9452-41CE-86C7-AE94599105B9} - System32\Tasks\{21CD9D93-ABB2-489A-8262-D8B77702CF95} => Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsPlugin Task: {4659A0DE-EBF9-44E0-A1FF-45F375FB0D3A} - System32\Tasks\{8257FDA3-FEB3-48DA-BEA8-988202248EAE} => Chrome.exe http://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsProgressBar Task: {56DEA540-7757-401F-97D9-ED4258460741} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {89F8E6C7-557D-46DA-B820-EE6EADFCD779} - System32\Tasks\{42533AC2-D226-47A5-AECF-32F839DAD083} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.5.0.117&LastError=404 Task: {91699E04-0D45-4679-ACCE-293F87A59317} - System32\Tasks\{D23F55FA-EED9-4199-87BB-EE3AC7C3FAF7} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {AC34A251-84BB-4560-BBAF-797E1C7A6354} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe Task: {AF507756-D567-48B4-8411-567252FA5894} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {C97BE190-22D0-43B5-A192-9D1CB4AD6CC1} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {ED30B592-DBEA-4A4A-B300-73BC2DC2BAE6} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {EDA7E35B-78AC-45D0-A3F8-E806870F55E6} - System32\Tasks\Driver Booster SkipUAC (Hubert) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {FE6D46D0-C76E-4D1A-9ADF-4430E4803B13} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe CHR HKU\S-1-5-21-3305830765-1307672135-6286609-1001\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1421438541&from=cor&uid=ST31000524AS_6VPCCGGSXXXX6VPCCGGS HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3305830765-1307672135-6286609-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com URLSearchHook: HKU\S-1-5-21-3305830765-1307672135-6286609-1001 - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files\COMODO C:\Program Files\Common Files\System\SysMenu.dll C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Software Plate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\ProgramData\TEMP C:\Users\Hubert\AppData\Local\newhb2.crx C:\Users\Hubert\Downloads\AdwCleaner*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\Start GeekBuddy.lnk.CommonStartup C:\Windows\System32\Tasks\COMODO DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MKLOL" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TrojanScanner" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, a błąd SysMenu.dll przy starcie systemu już się nie pokaże. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 7. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition (Shortcut nie jest mi już potrzebny), by powstały dwa logi. Dołącz też plik fixlog.txt oraz wszystkie raporty z folderu C:\AdwCleaner (nie uruchamiaj programu ponownie, chodzi o poprzednie wyniki co było usuwane)

Ale co właściwie chcesz odkręcać? Fixlist miał poprawną zawartość (usuwanie adware), w nowych raportach brak oznak infekcji i zadaję po raz trzeci pytanie czy problem reklam nadal występuje.

Nic z tego nie wynika. Usługa winmgmt jest uruchomiona (a uprzednio FIX.REG importował jej dane), repozytorium WMI spójne, a konto SYSTEM ma uprawnienia do folderu C:\Windows\System32\LogFiles\WMI\RtBackup. Zresetuj ponownie system i dla pewności zrób nowy log Addition.

Temat przenoszę do działu Windows, to nie jest problem infekcji. Co widać w raportach: 1. Uszkodzony system Usług kryptograficznych (baza catroot lub catroot2) - masowy odczyt braku podpisu cyfrowego prawie wszystkich usług i sterowników. To oznacza niedziałanie wielu funkcji i inne problemy. W tej kwestii: - Sprawdź czy masz zainstalowaną aktualizację KB3004394. Jeśli tak, odinstaluj. - Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 2. Archaiczny ESET NOD32 Antivirus z roku 2009. Jeśli powyższa usterka z Usługami kryptograficznymi zostanie skorygowana, odinstaluj tę staroć via Panel sterowania. Następnie z poziomu Trybu awaryjnego Windows zastosuj ESET Uninstaller. 3. Po wszystkich operacjach zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition.

Proszę zacząć od zasad działu jakie materiały są obowiązkowe: KLIK. Wymagane są raporty z FRST. PS. Poprzedni tytuł przywróciłam, lepiej oddaje treść i przedstawia poblem. Notabene, to nie wirus tylko adware/PUP, a błąd się pojawia, gdyż w Harmonogramie zadań pozostały wpisy startowe. Do analizy potrzebne raporty FRST.

Sprawa mnie zadziwiła, nie wydawało mi się, by usługa śmiecia Ask była aż tak inwazyjna... Drobne poprawki przed zakończeniem spraw. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Users\RHinplus\Downloads\FRST-OlderVersion CMD: del /q C:\Users\RHinplus\defogger_reenable CMD: del /q C:\Users\RHinplus\Desktop\defogger_disable.txt.log CMD: del /q C:\Users\RHinplus\Downloads\adwcleaner*.exe CMD: del /q C:\Users\RHinplus\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.13234784870129068.2.1.Run.exe CMD: del /q C:\Users\RHinplus\Downloads\Regdelnull*.zip CMD: del /q C:\Users\RHinplus\Downloads\7ih94nzj.exe CMD: del /q C:\Users\RHinplus\Downloads\d69j17jg.exe CMD: del /q C:\Users\RHinplus\Downloads\if68wy1w.exe CMD: del /q C:\Users\RHinplus\Downloads\nvm6d1oh.exe CMD: del /q C:\Users\RHinplus\Downloads\vqzkl26j.exe CMD: del /q C:\Users\RHinplus\Downloads\xsdhmsvh.exe CMD: del /q C:\Users\RHinplus\Downloads\y1q9bcol.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Z raportów nic nie wynika. Komputer działa wolno już podczas procesu startu, czy zaczyna spowalniać w trakcie użytkowania? Czy komputer nadal się przegrzewa?

Tu chodziło o wyczyszczenie po deinstalacji Google Chrome kluczy i folderów. Teraz jest to już nieistotne, bo zainstalowałeś przeglądarkę od nowa. Ona prezentuje się w raporcie jako "czysta" i już tym się nie zajmuj.

ruter321, proszę odinstaluj dla testu Avast i podaj rezultaty.

Odpowiedz na pytanie czy Vidalia z Torem to była celowa świadoma instalacja, bo nie mam pewności czy szyfrator tego nie zamontował. Niestety infekcja jest oporna, nie wszystko się usunęło i już nastąpiły rekonstrukcje. Mam też podejrzenie, że tu jest jakiś rootkit do kompletu, poprzednio GMER zaciemniony działaniem licznych procesów infekcji i miałam porównać ile aktywności się ulotni po usunięciu widocznych procesów startowych. Miałeś tylko odinstalować Google Chrome i nie instalować ponownie, a tu widzę że przeglądarka jest na miejscu i padł na łeb plan doczyszczania - nie mogę już zrobić tego co było pierwotnie planowane. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {10B77EDF-C057-403D-A743-CAC4B85058EA} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [79m1gM3g] => C:\Users\Kuba\AppData\Roaming\79m1gM3g.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Kuba\AppData\Roaming\79m1gM3g.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt (tym razem nie musisz już robić akcji z UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Uruchom Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, przyznaj Skip i tylko log zaprezentuj. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition. Dołącz też plik fixlog.txt.

Log z GMER na wszelki wypadek możesz podać. No cóż, key-find z protectorem ustawień nabyłeś z serwisu dobreprogramy.pl, którego nazwa w ogóle już nie odbija jakości, częstując się ich Asystentem pobierania: KLIK. Na dysku widać nie budzący wątpliwości plik "Asystenta" i zaraz po nim pojawienie się komponentów "protectora": 2015-02-23 07:35 - 2015-02-23 07:35 - 00000000 ____D () C:\ProgramData\IHProtectUpDate 2015-02-23 07:35 - 2015-02-23 07:35 - 00000000 ____D () C:\Program Files\XTab 2015-02-23 07:33 - 2015-02-23 07:33 - 00710792 _____ (App Web ) C:\Users\Błysku\Downloads\Freemake-Video-Converter(20113)-dp.exe AKCJA NA KONCIE Blysku: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424673292&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.key-find.com/?type=sc&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Blysku\AppData\Roaming\Mozilla\Firefox\Profiles\2zl3p4u4.default-1424684247287\extensions\fftoolbar2014@etech.com CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Blysku\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File Task: {52E057F4-A6A3-4474-A62A-5CE529D9B68D} - System32\Tasks\{B6E1F1A2-555F-454A-8977-9112DE579C2D} => pcalua.exe -a C:\Users\Błysku\AppData\Roaming\key-find\UninstallManager.exe -c -ptid=cor C:\Program Files\Opera C:\Program Files\XTab C:\ProgramData\IHProtectUpDate C:\Users\Błysku\AppData\Local\Opera Software C:\Users\Błysku\AppData\Roaming\Opera Software C:\Users\Błysku\Downloads\*(*)-dp*.exe CMD: sc config WinDefend start= demand EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Ponownie zresetuj Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. AKCJA NA KONCIE Błysku: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-859423121-132849420-3883132106-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150223 HKU\S-1-5-21-859423121-132849420-3883132106-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424673280&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-859423121-132849420-3883132106-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMQ01ABD050_X3D7CY2STXXX3D7CY2ST&ts=1424673325&type=default&q={searchTerms} FF HKU\S-1-5-21-859423121-132849420-3883132106-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie fixlog.txt. 2. Na tym koncie także zresetuj Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie sprecyzowałeś od kiedy występuje problem. Jak mówiłam, podejrzany jest również Avast (instalowany pod koniec stycznia). Wykonaj testową deinstalację dla sprawdzenia rezultatów. Fix wykonany. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Nie wszystkie wyniki Hitman są istotne, "Malware" i "Suspicious files" do zignorowania. Do usunięcia będą jednak szczątki adware/PUP (Mobogenie, WinThruster, SpeedUpMyPC, Softonic) i ciastka: 1. W Google Chrome wyczyść Cookies. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\Mobogenie RemoveDirectory: C:\Users\TNR\AppData\Local\Mobogenie RemoveDirectory: C:\Users\TNR\Desktop\Nowy folder (2)\FRST-OlderVersion RemoveDirectory: C:\Users\TNR\My Documents\Mobogenie DeleteKey: HKLM\SOFTWARE\Classes\speedupmypc DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd DeleteKey: HKU\S-1-5-21-1214679314-924237255-3835460894-1000\Software\Softonic CMD: del /q C:\Windows\system32\roboot64.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz tylko Szukaj (nic nie usuwaj) i dostarcz log z folderu C:\AdwCleaner.

A to dziwne, że jakichkolwiek zmian brak, jakieś powinny być (nawet jeśli nie te których oczekujesz), gdyż deinstalacja śmiecia YAC oznaczała usunięcie bardzo ingerenyjnych procesów (7 usług, w tym sześć sterowników). Jeśli nadal są jakieś problemy, sprawdzaj kolejne ostatnio doinstalowane programy - tu widać że był co dopiero instalowany MBAM. Odinstaluj go i sprawdź rezultaty. Jeśli i to nic nie wniesie poprawy, podejrzany jest Avast. W zakresie czyszczenia skończyliśmy. Drobna poprawka końcowa. Otwórz Notatnik i wklej w nim: S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] RemoveDirectory: C:\FRST\Quarantine Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Zaszyfrowane dane raczej nie powinny wyciec nigdzie, a zmian haseł na pewno nie wykonuj teraz, gdy działa infekcja. A jest tu spora kolekcja, nie tylko CryptoWall, ale także Sathurbot, Ropest i inne. Poza tym, ale to już szczegół w kontekście szyfratora danych, jest adware i malware w Firefox + adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja Chrome. Pytanie: czy Vidalia Bundle z Torem to Twoja celowa instalacja? Zaczynamy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Ocpics] => C:\Users\Kuba\AppData\Local\Ocpics\tmpF3F4.exe [264472 2015-02-17] (The Eraser Project ) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Oprzics] => regsvr32.exe C:\Users\Kuba\AppData\Local\Oprzics\ASMga215A.dll HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [usnzmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Kuba\AppData\Local\Ocpics\DataCD.dll HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [fsutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\fsutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [GoogleUpdate] => C:\Users\Kuba\AppData\Roaming\FrameworkUpdate\GoogleUpdate.exe [120320 2015-02-21] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [autoconv] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\autoconv.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [168448 2014-03-04] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [5555y555] => C:\Users\Kuba\AppData\Roaming\5555y555.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [wecutil] => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [168448 2014-03-04] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\CurrentVersion\Windows: [Load] C:\Users\Kuba\LOCALS~1\Temp\ccceoh.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-18\...\RunOnce: [Del13882996] => cmd.exe /Q /D /c del "C:\windows\TEMP\0.del" HKU\S-1-5-18\...\RunOnce: [Del19802392] => cmd.exe /Q /D /c del "C:\windows\TEMP\0.del" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\autoconv.lnk Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fsutil.lnk Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF32.dll No File FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File FF Plugin-x32: @pandasecurity.com/activescan -> C:\Program Files (x86)\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security, S.L.) CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {2B84E39A-9E12-4F6E-83E2-16F509B35920} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3839221274-3043303846-3843884880-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {348E0006-F45E-40B7-896B-3CC0E7297DCD} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [2014-03-04] () Task: {35A5B8FB-2838-418A-940A-234A8C682D8A} - System32\Tasks\{57B4245E-7230-476F-AAA1-0A63869F6E05} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {64FF4900-DF11-47A9-B1DC-A3A404CEF770} - System32\Tasks\{185500A7-E25E-4606-922A-BB38B5B4BE68} => pcalua.exe -a C:\Users\Kuba\Downloads\SetupDWGTrueView2012_32bit.exe -d C:\Users\Kuba\Downloads Task: {7BFE18D4-D541-4845-9469-A549DB101C18} - System32\Tasks\{E05F641C-C744-42F9-A595-57D3B8BDA61F} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {839EFA3E-9D7E-4C74-8B12-3FFCC3A51802} - System32\Tasks\{536E68D4-F40B-4225-80B0-CFFCFE1DF58B} => pcalua.exe -a C:\Users\Kuba\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {9DE88BAB-3699-4BEF-A16A-7B31155264A4} - System32\Tasks\{9F77A418-EA46-426E-9B32-36D8D5D93AFF} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {AC1E29C2-10F7-4454-B3FA-48266A31CB98} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3839221274-3043303846-3843884880-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {DCE64F9D-2E6B-4337-B1E1-C5AEB6944A40} - System32\Tasks\{F77D6037-6CD4-4292-83FE-7AE0DD1FB09A} => pcalua.exe -a E:\setup.exe -d E:\ U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S1 ujtzlwkw; \??\C:\windows\system32\drivers\ujtzlwkw.sys [X] C:\ProgramData\@system3.att C:\ProgramData\@system.temp C:\ProgramData\kjhy64.txt C:\ProgramData\systemskey.ini C:\ProgramData\Microsoft\Secure C:\Users\Kuba\AppData\Local\Ocpics C:\Users\Kuba\AppData\Local\Oprzics C:\Users\Kuba\AppData\Roaming\麽鎒駓覜 C:\Users\Kuba\AppData\Roaming\5555y555.exe C:\Users\Kuba\AppData\Roaming\Gadu-Gadu 10 C:\Users\Kuba\AppData\Roaming\FrameworkUpdate C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Kuba\Downloads\yet_another_cleaner_munbd.exe C:\windows\system32\Drivers\etc\hosts.txt Hosts: CMD: del /q /s C:\HELP_DECRYPT.* Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt zapisz obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Operacje z przeglądarkami: - Z Google Chrome wyeksportuj tylko zakładki. Odinstaluj przeglądarkę. Przy deinstalacji zaznacz Usuń także dane przeglądarki. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie Addition) oraz GMER. Dołącz też plik fixlog.txt.

Infekcja nie jest przyczyną restartów. Diagnostyka BSOD w punkcie 5 ogłoszenia: KLIK. Na razie nie instaluj żadnych antywirusów / firewalli, skoro występują autoresety, gdy to tylko zaciemni / pogorszy sprawę (antywirusy wprowadzają inwazyjne sterowniki). Trudno tu typować jakiś obiekt na oko - instalowałeś dużo w ostatnim czasie (Pandę i sterowniki sprzętowe), z tym że z Pandą jest coś nie tak, gdyż w GMER widać masowy brak dostępu do jej elementów. Jeśli chodzi o zdefektowaną Pandę oraz czyszczenie z adware/PUP, do przeprowadzenia następujące działania: 1. Odinstaluj cały zestaw Panda Cloud Antivirus, Panda Security Toolbar, Panda Security URL Filtering. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-13] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKU\S-1-5-21-3211495807-2250388596-1896275332-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423827437&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3211495807-2250388596-1896275332-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&ts=1423827457&type=default&q={searchTerms} FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\mystartsearch.xml StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1423827365&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File BHO-x32: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File HKLM-x32\...\Run: [] => [X] Task: {43BB09F0-C485-4664-84EE-25948177016C} - \GoogleUpdateTaskMachineUA No Task File Task: {57B907E2-EFAB-4357-AF5A-F30800B53B7C} - \{9D7E2E51-0FF5-4959-819D-A00F8223E75A} No Task File Task: {A6B77375-CDBB-487B-90B0-72FF5C526668} - \{03AC028F-6D69-4D38-A960-C87DF9C47C01} No Task File Task: {BDA1DEE0-2EE7-4979-A949-B0EE72BACEFE} - \GoogleUpdateTaskMachineCore No Task File Task: {E42B8748-E286-4B65-A9FF-FE91022D6948} - \{3D45F24C-9663-45CC-B231-66165FD576AE} No Task File Task: {EB33B7BF-844E-4A50-B49A-233460856312} - \Adobe Flash Player Updater No Task File C:\Program Files (x86)\globalUpdate C:\ProgramData\IHProtectUpDate C:\ProgramData\McAfee C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Adam\AppData\Local\CrashRpt C:\Users\Adam\AppData\Local\globalUpdate C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\Users\Adam\Downloads\*(*)-dp*.exe C:\Users\Adam\Downloads\Niepotwierdzony*.crdownload DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GOOBZOYouTubeAccelerator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PSUAMain CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na przyszłość: proszę nie manipuluj raportami, logi FRST to nie oryginały tylko zasejwowane ponownie pliki i to w złym kodowaniu (ANSI zamiast UTF-8 jak oryginał). Temat przenoszę do działu XP. W raportach nie widać żadnych oznak czynnej infekcji, a opisywany objaw w ogóle jej nie poświadcza - sam twierdzisz, że to występuje po mocnym obciążeniu zasobów. ==================== Memory info =========================== Processor: AMD Athlon(tm) 64 X2 Dual Core Processor 5600+ Percentage of memory in use: 58% Total physical RAM: 2046.42 MB Available physical RAM: 849.22 MB Total Pagefile: 3938.52 MB Available Pagefile: 2743.51 MB Total Virtual: 2047.88 MB Available Virtual: 1909.11 MB Moim zdaniem tu nie ma się co za bardzo dziwić. Jest tu "podstawowa" jak na dzisiejsze warunki i zadania z "graniem" ilość RAM (2GB), dużo uruchomionych procesów (bez uruchomienia nawet gry), inwazyjne aplikacje (Avast, firewall nVidia filtrujący ruch sieciowy). Wszystko stare: archaiczny system XP, więc i stare sterowniki producentów trzecich datowane na wiele lat wstecz (to może być problem), stare programy (w tym owe inwazyjne produkty, nVidia tak stara że szok). Ten proces "stij.exe" pochodził od adware SweetIM / SweetPacks, które rezydowało w systemie kupę czasu (to stare adware, daty na dysku wskazują, że instalacja była w 2012). Są tu jeszcze do czyszczenia odpadki adware, wszystkie przeglądarki zaśmiecone. Cała przeglądarka Google Chrome do reinstalacji: nie tylko jest w niej adware "paricechhop", ale na dodatek została przez adware przekonwertowana z wersji stabilnej do developerskiej, no i stara wersja. Działania do przeprowadzenia: 1. Był tu uruchamiany GMER. Na wszelki wypadek sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędniki: Adobe Reader X (10.1.10) - Polish, Adobe Shockwave Player 11.5, avast! Free Antivirus, Google Chrome, Japanese Fonts Support For Adobe Reader 8, Java™ 6 Update 24, MyFreeCodec (zbędnik Samsunga), NVIDIA ForceWare Network Access Manager. Proponuję też pozbyć się innych starych programów (DivX, Real, ....). Przed deinstalacją Chrome możesz wyeksportować zakładki, przy deinstalacji wybierz opcję Usuń także dane przeglądarki, resztę obiektów Google doczyści punkt poniżej. 3. Doczyszczenie pustych wpisów i skrótów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,,"C:\Program Files\Przyspiesz Komputer\PCSpeedUpNotifier.exe" HKU\S-1-5-21-796845957-1592454029-682003330-1004\...\MountPoints2: {60e15b73-77c5-11df-a235-001fc66da533} - J:\LaunchU3.exe -a HKU\S-1-5-21-796845957-1592454029-682003330-1004\...\MountPoints2: {d103bb72-94b0-11de-ba15-806d6172696f} - I:\Setup.exe AppInit_DLLs: c:\progra~1\pc_boo~1\assist~1.dll => c:\progra~1\pc_boo~1\assist~1.dll File Not Found CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424293725&from=cor&uid=SAMSUNGXHD322IJ_S1UZJ90Q902339&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424293725&from=cor&uid=SAMSUNGXHD322IJ_S1UZJ90Q902339&q={searchTerms} HKU\S-1-5-21-796845957-1592454029-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 Toolbar: HKLM - No Name - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKLM - No Name - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No File Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No File Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\Web Assistant\Firefox FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF HKLM\...\Firefox\Extensions: [{8E9E3331-D360-4f87-8803-52DE43566502}] - C:\Program Files\Web Assistant\Firefox FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\2vyijf3g.default\extensions\searchengine@gmail.com FF HKLM\...\Thunderbird\Extensions: [{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension Task: C:\WINDOWS\Tasks\1-Click Maintenance.job => C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\Piotr\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Task: C:\WINDOWS\Tasks\RMSchedule.job => C:\Program Files\Registry Mechanic\RegMech.exe S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; No ImagePath S3 XDva369; \??\C:\WINDOWS\system32\XDva369.sys [X] S3 XDva375; \??\C:\WINDOWS\system32\XDva375.sys [X] S3 XDva380; \??\C:\WINDOWS\system32\XDva380.sys [X] S3 XDva383; \??\C:\WINDOWS\system32\XDva383.sys [X] S3 XDva385; \??\C:\WINDOWS\system32\XDva385.sys [X] S3 XDva386; \??\C:\WINDOWS\system32\XDva386.sys [X] S3 XDva389; \??\C:\WINDOWS\system32\XDva389.sys [X] S3 XDva390; \??\C:\WINDOWS\system32\XDva390.sys [X] S3 XDva391; \??\C:\WINDOWS\system32\XDva391.sys [X] S3 XDva392; \??\C:\WINDOWS\system32\XDva392.sys [X] S3 XDva393; \??\C:\WINDOWS\system32\XDva393.sys [X] S3 XDva394; \??\C:\WINDOWS\system32\XDva394.sys [X] S3 XDva396; \??\C:\WINDOWS\system32\XDva396.sys [X] S3 XDva397; \??\C:\WINDOWS\system32\XDva397.sys [X] S3 XDva398; \??\C:\WINDOWS\system32\XDva398.sys [X] S3 XDva399; \??\C:\WINDOWS\system32\XDva399.sys [X] S3 XDva401; \??\C:\WINDOWS\system32\XDva401.sys [X] S3 XDva404; \??\C:\WINDOWS\system32\XDva404.sys [X] S3 XDva405; \??\C:\WINDOWS\system32\XDva405.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{FBB02955-6A01-4157-86A8-39867631C050} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EA052880-EE58-46AC-A768-582D69211223} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{D703C64F-5FAA-4076-8BAE-A2680594266F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CAC1E8A1-8F81-412A-AFEA-5F2CCAF0ACEA} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C030DFFE-156B-4851-9FB7-6B467340ADC4} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{BD11A5D7-22EB-44F1-996B-D9515B3BA20D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{AA5A91B4-FAF6-4033-A0F3-E31F93E1BD19} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8B3FF5C0-1B3D-4A7B-B0D3-1410B91DD450} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{87FC6690-84B6-4770-A3A6-3973F29C96BA} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{7D5714F3-34B5-46D4-B786-A40DE01920E8} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6A376A30-D89C-4049-AC20-53F0AB0C021A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6409B05C-250A-436C-A2BD-3AF56BCD5AC5} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{5539EA54-B8FE-4DD4-9475-CE8CA4158A60} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{48D5EEAA-B4C9-41F1-BACD-9184C47E81B3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{428D31F5-B2E9-4718-B097-4A17BB311139} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3C4E1F34-F217-452C-B8D5-CB9E4A8A03EB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3B99B450-21FD-43F9-8378-D3CF15B43CB7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{366F6910-AA20-4FBB-A15A-929E216508A6} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{361125A4-A92A-482B-9BFA-7BE47DB0880A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{276F5C90-9CDF-4460-9C5A-A87D427D9A9B} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{27234817-71F4-4C87-B62D-2A2E8DE4169A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{25A1E6A4-2DBD-4AC0-8650-8EA9A45B183D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{210B1A74-0C6A-4200-8A96-9B74E9531FEF} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{0333EE7F-6BA4-4387-901E-2DA2248670C0} C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Program Updates.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Goat Simulator C:\Documents and Settings\All Users\Menu Start\Programy\Cheat Engine 6.1 C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Photoshop 5.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Register Photoshop 5.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Photoshop 5.0 C:\Documents and Settings\Piotr\*.exe C:\Documents and Settings\Piotr\Menu Start\Programy\Counter Strike 1.6 C:\Documents and Settings\Piotr\Menu Start\Programy\Counter-Strike 1.6 [PL] SznaJK3r C:\Documents and Settings\Piotr\Menu Start\Programy\KraiSoft Entertainment C:\Documents and Settings\Piotr\Menu Start\Programy\San Andreas Multiplayer C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Adobe Reader 9.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Nero StartSmart Essentials.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Nokia Ovi Suite.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Adobe Reader 7.0.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Counter-Strike 1.6 PL [NS].lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\DivX Converter.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\EA Download Manager.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\GTA III.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Nero Home Essentials SE.lnk C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Uaktualnienie online pakietu Nero.lnk C:\Documents and Settings\Piotr\Pulpit\GRY SZYMON\*.lnk C:\Documents and Settings\Piotr\Pulpit\Michał\Launch LEGO® Indiana Jones™ 2.lnk C:\Documents and Settings\Piotr\Pulpit\Michał\LEGO Star Wars.lnk C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Program Files\Perion C:\Program Files\pricechhop C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{32148148} CMD: netsh firewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji Avast i zapory Nvidia jest poprawa.

Wszystko wykonane. 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] SearchScopes: HKLM-x32 -> DefaultScope value is missing. RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wyniki.

Przecież to robił skrypt do FRST. Skrypt wykonany. Czy są jeszcze jakieś problemy w systemie?

W raporcie FRST nie było żadnych szkodliwych procesów: ==================== Processes (Whitelisted) ================= (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (Microsoft Corporation) C:\Windows\System32\dasHost.exe (Malwarebytes Corporation) D:\Malwarebytes Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) D:\Malwarebytes Anti-Malware\mbamservice.exe (TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe (Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe (Malwarebytes Corporation) D:\Malwarebytes Anti-Malware\mbam.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (Microsoft Corporation) C:\Windows\System32\dllhost.exe (Intel Corporation) C:\Windows\System32\igfxtray.exe (Intel Corporation) C:\Windows\System32\hkcmd.exe (Intel Corporation) C:\Windows\System32\igfxpers.exe (Intel Corporation) C:\Windows\System32\igfxsrvc.exe (Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe Failed to access process -> Service_KMS.exe (Spotify Ltd) C:\Users\kolorowyguzik\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Microsoft Corporation) C:\Windows\System32\StikyNot.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Trudno mi się odnieść do sprawy nie wiedząc co właściwie zabiłaś w menedżerze, ale akcja zdaje się być "podejrzana". Czy po restarcie systemu na pewno problem nadal nie ujawnia się?

Kolejna porcja zadań: 1. Przez Panel sterowania odinstaluj adware mystartsearch uninstall, Wajam. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-14] (SysTool PasSame LIMITED) ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:49752;https=127.0.0.1:49752 ProxyEnable: [s-1-5-21-3928150652-2756980015-3035233101-1000] => Internet Explorer proxy is enabled. ProxyServer: [s-1-5-21-3928150652-2756980015-3035233101-1000] => http=127.0.0.1:49752;https=127.0.0.1:49752 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 OPR StartupUrls: "hxxp://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680" StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKU\S-1-5-21-3928150652-2756980015-3035233101-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKU\S-1-5-21-3928150652-2756980015-3035233101-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423906812&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423906963&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) C:\Program Files (x86)\G Data C:\Program Files (x86)\Wajam C:\Program Files (x86)\WajNEnhance C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WajNEnhance C:\ProgramData\WindowsMangerProtect C:\Users\User\AppData\Roaming\mystartsearch Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut. Dołącz też plik fixlog.txt.

Tytułowy WindowsMangerProtect nie jest tu problemem, tego już nie ma w systemie (nie widać usługi w raporcie FRST). Spowolniony komputer to raczej tu jest na własne życzenie. Zainstalowałeś bardzo niepożądany program YAC (Yet Another Cleaner). Ten program jest podejrzany, jest traktowany jako instalacja typu "PUP" = Potencjalnie Niepożądany Program, na dodatek jego pobyt w systemie może powodować problemy. Przykłady z forum: KLIK, KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1420721377&from=cor&uid=ST1000LM014-SSHD-8GB_W3822FDQXXXXW3822FDQ C:\Users\Paweł\AppData\Local\Google\Chrome\User Data\Default\Preferences HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - No File Filter: Class Install Handler - {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\Windows\System32\urlmon.dll (Microsoft Corporation) Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - No File Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - No File Filter: lzdhtml - {8f6b0360-b80d-11d0-a9b3-006097942311} - No File Task: {1A83FC83-1305-463E-BC60-13BB481999C5} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" AlternateDataStreams: C:\WINDOWS\explorer.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\aclui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\ActionCenter.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\adhsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AppxPackaging.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AppxSip.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AppxSysprep.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\audiodg.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AudioEndpointBuilder.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AudioEng.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AUDIOKSE.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\AudioSes.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\audiosrv.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\bcryptprimitives.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\BluetoothApis.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\browser.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\ci.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\clusapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\comdlg32.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\conhost.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\d3d10warp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\dab.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Defrag.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\defragsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Display.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\dwmapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\EncDump.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Faultrep.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\GdiPlus.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\gpedit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\gpsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\httpprxm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\iasnap.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\iphlpsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDBASH.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDRU.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDRU1.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDRUM.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDTAT.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDTT102.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\KBDYAK.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mfcore.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mfplat.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mfps.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mfreadwrite.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mftranscode.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mispace.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mstscax.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\ncsi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\netcfgx.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\nlaapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\nlasvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\osk.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\powercfg.cpl:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PrintDialogs.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\printui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\profsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\rdvidcrl.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\rsaenh.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SearchFolder.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SettingSync.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SHCore.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SndVol.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SndVolSSO.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\spoolsv.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SRH.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\srvsvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\stobject.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\storagewmi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SystemSettingsAdminFlows.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\SystemSettingsAdminFlowUI.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\tcpmon.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\TSWbPrxy.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\twinapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\uDWM.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\usbmon.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\UXInit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\VAN.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wcmcsp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WdfCoInstaller01009.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WebClnt.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wer.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\werdiagcontroller.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WerFault.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WerFaultSecure.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wermgr.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WiFiDisplay.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.ApplicationModel.Store.TestingFramework.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.Devices.Bluetooth.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.Media.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.Networking.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Search.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Xaml.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winload.efi:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winload.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winmm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winmmbase.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winresume.efi:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winresume.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\winspool.drv:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wisp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlanapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlanmsm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlansec.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlansvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wlansvcpal.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WMVDECOD.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WorkfoldersControl.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WorkFoldersGPExt.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WorkFoldersShell.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\workfolderssvc.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wpdbusenum.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WSDMon.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wsecedit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wshbth.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WSShared.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wuapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wuauclt.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wuaueng.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wucltux.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wudriver.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wups.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wups2.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\WUSettingsProvider.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wwanconn.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\wwanmm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\XpsPrint.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\aclui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\ActionCenter.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AppxPackaging.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AppxSip.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AudioEng.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AUDIOKSE.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\AudioSes.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\bcryptprimitives.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\BluetoothApis.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\clusapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\comdlg32.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\d3d10warp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Display.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\dwmapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\explorer.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Faultrep.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\GdiPlus.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\gpedit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\iasnap.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDBASH.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDRU.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDRU1.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDRUM.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDTAT.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDTT102.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\KBDYAK.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mfcore.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mfplat.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mfreadwrite.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mftranscode.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mispace.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\mstscax.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\netcfgx.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\nlaapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\osk.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\powercfg.cpl:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\PrintConfig.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\PrintDialogs.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\printui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\rdvidcrl.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\rsaenh.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\SettingSync.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\SHCore.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\SndVol.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\SRH.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\stobject.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\storagewmi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\UXInit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\VAN.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WebClnt.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wer.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\werdiagcontroller.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WerFault.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WerFaultSecure.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wermgr.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.ApplicationModel.Store.TestingFramework.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Devices.Bluetooth.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Media.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Networking.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Search.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Xaml.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\winmm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\winmmbase.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\winspool.drv:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wisp.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wlanapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wlanmsm.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WMVDECOD.DLL:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wsecedit.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wshbth.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\WSShared.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wuapi.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wudriver.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\wups.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\SysWOW64\XpsPrint.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\ahcache.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\bridge.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthpan.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthport.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\hdaudbus.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\IPMIDrv.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\ks.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\mrxdav.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\mrxsmb20.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\msgpioclx.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndis.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\NdisImPlatform.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\ntfs.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\nwifi.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\pci.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\spaceport.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\srv.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\srv2.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\srvnet.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\usbccgp.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\usbhub.sys:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\USBHUB3.SYS:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\Drivers\volsnap.sys:$CmdTcID AlternateDataStreams: C:\Users\Paweł\OneDrive:ms-properties AlternateDataStreams: C:\Users\Paweł\Downloads\518b3a535433324039.jpg:$CmdZnID AlternateDataStreams: C:\Users\Paweł\Downloads\c4df8b58fef79c54667ddd12c12849d5.jpg:$CmdZnID AlternateDataStreams: C:\Users\Paweł\Downloads\moj-programik.txt:$CmdZnID AlternateDataStreams: C:\Users\Paweł\Downloads\universe-and-planets-digital-art-wallpaper-rise_1920x1200_70544.jpg:$CmdZnID C:\Program Files (x86)\Opera C:\Users\Paweł\AppData\Local\Opera Software C:\Users\Paweł\AppData\Roaming\Opera Software C:\Users\Paweł\AppData\Roaming\WebApp C:\Users\Paweł\Downloads\yet_another_cleaner_sk_6023153.exe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10}" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), z tym że dla opcji Internet odznacz Whitelist. Dołącz też plik fixlog.txt. Wypowiedz się jak działa system po likwidacji YAC.

Temat przenoszę do działu Windows. 1. Używanie systemowych gadżetów nie jest bezpieczne: KB2719662. Zamiennie możesz skorzystać z alternatywnych bogatszych programów w rodzaju RainMeter. Jeśli nadal chcesz korzystać z systemowego gadżetu Pogoda, to: 2. Po pierwsze, widzę tu włączone proxy w Internet Explorer (zostanie usunięte skryptem FRST w spoilerze). Po drugie, jeśli proxy nie ma związku, to prawdopodobnie sprawę rozwiąże drobny trik. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\MIKOLAJ\AppData\Local\Microsoft\Windows Live\Services\Cache Z prawokliku na plik Config.xml > Edytuj, po otworzeniu nie dokonuj żadnych zmian w pliku, ale go ponownie Zapisz. Po akcji zrestartuj gadżet Pogoda. Powinny się pojawić dane w gadżecie. PS. W spoilerze dodatkowe poboczne działania:

Dziecko uruchomiło jakiś "downloader" zamiast poprawnego instalatora, a log sugeruje, że pociecha szukała czegoś do gier. W systemie ładował się cały majdan adware, włącznie z tzw. rodzajem "MultiPlug" (UniDeals). "MultiPlug" zapisał w rejestrze plik który się uruchamiał i to prawdopodobnie był "downloader": CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> c:\Temp\bfea\temp\Minecrafr Force Op Hack v3.51.exe No File Cóż, mamy tu nadal dużo do czyszczenia, a adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana reinstalacja od zera. Akcja: 1. Przez Panel sterowania odinstaluj poszkodowane Google Chrome (od razu też Google Talk Plugin) oraz adware Remote Desktop Access (VuuPC). Przed deinstalacją Google Chrome możesz wyeksportować zakładki. Przy deinstalacji zaznacz Usuń także dane przeglądarki, a resztę doczyści mój skrypt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-11] () [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-11] () [File not signed] Task: {167C7DCC-40CC-4044-847F-A2DCACEB8FC4} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2015-02-11] () Task: {3F3F6A48-C96A-42B5-9287-99BE565F0227} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2015-02-11] () Task: {4A3BEC92-28D1-4FB1-8F7C-32F645F0F166} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-7 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-7.exe Task: {4ABF7B68-E47C-42A7-B17B-E118CECAA02F} - System32\Tasks\{7A6855CF-5C51-48F1-9B0C-95F6FB0419E0} => pcalua.exe -a "C:\Program Files\LG Electronics\LG Bluetooth Drivers\UninstallShld.exe" -d C:\windows\system32 -c C:\Program Files\LG Electronics\LG Bluetooth Drivers Task: {908C4B04-C417-4F67-B90F-ACFEB2417BCF} - System32\Tasks\{AA9ED550-E13D-497F-A98F-82B7833D76CC} => pcalua.exe -a C:\Users\dom\Desktop\Mozilla_download\smwin143pl.exe -d C:\Users\dom\Desktop\Mozilla_download Task: {AD55637F-0184-4561-817B-B71CD03FF25F} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-5 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-5.exe Task: {AE17D2CA-3C71-47AA-BDB9-8C3EBE2DCDA1} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-1-7 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-1-7.exe Task: {B0B9B7E9-922E-4FD3-A2CA-01722770C7D5} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-5_user => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-5.exe Task: {D2D9C35F-8E1F-410D-9674-2B105B14FCD8} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-1-6 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-1-6.exe Task: {DC3D3C6D-E066-4C36-8A24-22F0FADBD808} - System32\Tasks\WEEQSH => C:\Users\dom\AppData\Roaming\WEEQSH.exe [2015-02-11] () Task: {E3B0B2AA-F165-4636-BCD8-750D3D907899} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-4 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-4.exe Task: {F80DF942-3F79-4A20-81F1-0F74B988938E} - System32\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-6 => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-6.exe Task: {F9B6BD70-BB60-46B3-B529-A546AB89FF5F} - System32\Tasks\STQBARY => C:\Users\dom\AppData\Roaming\STQBARY.exe [2015-02-11] () Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-1-6.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-1-6.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-1-7.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-1-7.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-4.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-4.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-5.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-5.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-5_user.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-5.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-6.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-6.exe Task: C:\windows\Tasks\c601038f-a537-4972-84fb-172f9c9caf85-7.job => C:\Program Files\HQCinema Pro 2.1V11.02\c601038f-a537-4972-84fb-172f9c9caf85-7.exe Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\windows\Tasks\STQBARY.job => C:\Users\dom\AppData\Roaming\STQBARY.exe Task: C:\windows\Tasks\WEEQSH.job => C:\Users\dom\AppData\Roaming\WEEQSH.exe CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\dom\AppData\Local\Google\Update\1.3.25.11\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> c:\Temp\bfea\temp\Minecrafr Force Op Hack v3.51.exe No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423640401&from=wpc&uid=SAMSUNGXHM500JI_S20CJD0SC36258&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423640401&from=wpc&uid=SAMSUNGXHM500JI_S20CJD0SC36258&q={searchTerms} SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423640401&from=wpc&uid=SAMSUNGXHM500JI_S20CJD0SC36258&q={searchTerms} SearchScopes: HKU\S-1-5-21-3916604919-2912353607-3506189148-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423640401&from=wpc&uid=SAMSUNGXHM500JI_S20CJD0SC36258&q={searchTerms} FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll () FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll () FF HKLM\...\Firefox\Extensions: [{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}] - C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B} FF HKLM\...\Firefox\Extensions: [{DF153AFF-6948-45d7-AC98-4FC4AF8A08E2}] - c:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\af9g5q5i.default-1416422001587\extensions\fftoolbar2014@etech.com AlternateDataStreams: C:\windows\system32\charmap.exe:$CmdTcID AlternateDataStreams: C:\windows\system32\mf.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\mferror.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\mfpmp.exe:$CmdTcID AlternateDataStreams: C:\windows\system32\mfps.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\rrinstaller.exe:$CmdTcID AlternateDataStreams: C:\windows\system32\tzres.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\WSManHTTPConfig.exe:$CmdTcID AlternateDataStreams: C:\windows\system32\WSManMigrationPlugin.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\WsmAuto.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\WsmSvc.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\WsmWmiPl.dll:$CmdTcID AlternateDataStreams: C:\windows\system32\Drivers\tdx.sys:$CmdTcID C:\Program Files\1694585a-6eec-4f75-943f-2bb665d17916 C:\Program Files\globalUpdate C:\Program Files\Google C:\Program Files\RelayDefender C:\Program Files\UniDeals C:\Program Files\UUniDeals i C:\ProgramData\{*}.log C:\ProgramData\{18840fa2-3035-e0c7-1884-40fa23033e88} C:\ProgramData\{d50be457-e101-4565-d50b-be457e10915f} C:\ProgramData\308de2eb00001a67 C:\ProgramData\3686347444293087203 C:\ProgramData\njcdehncliogiphpkldcgfdgfhlnianj C:\Users\dom\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\dom\AppData\Local\nso53E3.tmp C:\Users\dom\AppData\Local\globalUpdate C:\Users\dom\AppData\Local\Google C:\Users\dom\AppData\Roaming\STQBARY C:\Users\dom\AppData\Roaming\STQBARY.exe C:\Users\dom\AppData\Roaming\WEEQSH C:\Users\dom\AppData\Roaming\WEEQSH.exe C:\Users\dom\AppData\Roaming\EZDownloader C:\Users\dom\AppData\Roaming\GoldenGate C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\dom\AppData\Roaming\VOPackage C:\Users\dom\AppData\Roaming\TheSettlersOnline111 C:\Users\dom\Downloads\Minecraft Force Op.zip C:\Users\dom\Downloads\Minecraft Force Op C:\Users\dom\Desktop\stary_pulpit\sony\*.lnk C:\Users\dom\Desktop\stary_pulpit\canon\Canon MP550 series Podręcznik ekranowy.lnk C:\Users\dom\Desktop\stary_pulpit\canon\Rejestracja użytkownika drukarki Canon MP550 series.LNK C:\Users\dom\Downloads\*_Sciagnij.pl.exe C:\Users\dom\Documents\Optimizer Pro Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany w działaniu systemu.