picasso

Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Zrób pełny skan Malwarebytes Anti-Malware (przy instalacji odznacz trial).Jeśli coś zostanie wykryte, dostarcz raport.

Skoro system nagle się uruchomił, to dostarcz raporty FRST zrobione spod Windows: KLIK. Te trzy pliki (FRST.txt, Addition.txt i Shortcut.txt) mają być podane jako załączniki a nie wklejane w poście.

Oba tematy sklejam - to samo adware ponownie nabyte poprzez korzystanie z "downloaderów" portalowych: KLIK. Różnica jest taka, że poprzednio WindowsMangerProtect był protektorem przekierowań isearch.omiga-plus.com, a teraz key-find.com. Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-08] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hp&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662" FF user.js: detected! => C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\user.js FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\extensions\fftoolbar2014@etech.com AlternateDataStreams: C:\Windows:F1E86939425427D5 C:\ProgramData\WindowsMangerProtect EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Uruchom ponownie AdwCleaner, lecz tym razem wybierz opcje Szukaj + Usuń. Gdy czyszczenie się ukończy: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Masa\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Masa\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Masa\Desktop\6uzz6s53.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Temat monitora został przeniesiony do działu Hardware i masz do uzupełnienia dane sprzętowe: KLIK. To nie jest moja specjalizacja. Jeśli ktoś inny będzie miał pomysł, to tam odpowie. Wracając do tutejszego problemu adware, to jest tu o wiele więcej śmieci i problemów tego rodzaju. Wstępnie: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: Ask Toolbar, File Association Manager, UpdateChecker. Jeśli któraś pozycja będzie niewidoczna, uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście dany wpis > Dalej. - Stare wersje i zbędniki: Adobe Reader 6.0.1, Adobe Shockwave Player 12.0. Ten Reader to strasznie dziurawa niebezpieczna wersja! 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X] S2 Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S2 Update Deal Keeper; "C:\Program Files\Deal Keeper\updateDealKeeper.exe" [X] S2 Update Greener Web; "C:\Program Files\Greener Web\updateGreenerWeb.exe" [X] S2 Util Deal Keeper; "C:\Program Files\Deal Keeper\bin\utilDealKeeper.exe" [X] S2 Util Greener Web; "C:\Program Files\Greener Web\bin\utilGreenerWeb.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 mcdbus; system32\DRIVERS\mcdbus.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] Task: {02AB8756-DDB8-4945-AD31-367AEEA93B33} - System32\Tasks\{38D6A2A3-477B-4284-ADDE-E7D9131CA17F} => pcalua.exe -a L:\EASetup.exe -d L:\ Task: {14107CB2-68DD-46F5-9990-455870A2F57E} - System32\Tasks\{FCCEB828-4962-4A35-A312-61771EF7248F} => D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica\Barbie™ pamietniki - Szkolna tajemnica\bin\game.exe Task: {1E01B910-D94A-4625-8467-6BCFAC56A8F9} - System32\Tasks\YourFileDownloader Installer Starter => C:\Users\UKASZ~1\AppData\Local\Temp\YourFileDownloaderYXePrKk2vY.exe Task: {4198F49A-32FC-463A-905C-32BC31185A03} - System32\Tasks\{8CDF044C-2F72-4B93-B942-325D3E769E17} => pcalua.exe -a E:\INSTALKI\napiprojekt1.0.6.2_(www.programs.pl).exe -d E:\INSTALKI Task: {4D9A4CEF-49C3-4618-8129-891A4F91A0E7} - System32\Tasks\{D85B24FF-EFED-487D-B162-30019861385F} => D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica\Barbie™ pamietniki - Szkolna tajemnica\bin\game.exe Task: {68A48222-B869-4AFE-8AD5-D5E01596AE76} - System32\Tasks\{3AE14ACE-6C29-4203-9070-C64AF4C3E051} => pcalua.exe -a C:\Users\Łukasz\Downloads\SweetIMSetup.exe -d C:\Users\Łukasz\Downloads Task: {72989AB1-6AB4-4514-A48E-B74A880EFE4A} - System32\Tasks\{A07877CF-48F7-42CD-B090-0D089C787A17} => pcalua.exe -a L:\DirectX\DXSETUP.exe -d L:\DirectX Task: {8B4E50A9-6D5B-446C-8F44-0A13DFEF8810} - System32\Tasks\{7E084364-49B9-4990-9205-0FBFFB0DDFAF} => pcalua.exe -a "C:\Program Files\sweetpacks bundle uninstaller\uninstaller.exe" -c "/appName=SweetIM Bundle by SweetPacks" Task: {A62B2E86-7667-4B89-B608-3C6CC2BF9231} - System32\Tasks\{44E64E34-1A4E-46F0-A046-6F4F0BF727E8} => pcalua.exe -a "L:\Support\Medal of Honor Airborne_code.exe" -d L:\Support Task: {A6EEC4BC-756B-4051-B24E-DE3052F9AE69} - System32\Tasks\{0F884208-93D5-41AB-B93D-4066CA60A93E} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{E8AEA11B-E60A-455E-B008-E4E763604612}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {A7CE328B-09FA-4C63-AF5C-C023BF1F5B48} - System32\Tasks\{AF775F00-BF1F-4D15-8D7E-61675DA96870} => pcalua.exe -a K:\Fairlight\Installer.exe -d K:\Fairlight Task: {B383F663-2633-4D93-89F2-A2A1B661DB3E} - System32\Tasks\{CA75FFF7-0F10-40FD-83CC-3847566821BC} => pcalua.exe -a "C:\Program Files\ivo\Ivona_Demo-1.0\UsunIvonaDemoBeta.exe" Task: {B4ED14AC-916A-48C2-AA5D-4D58D5234BBB} - System32\Tasks\{B682EC5E-B853-4094-B0D7-FFF247E716D0} => pcalua.exe -a "D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica\unins000.exe" Task: {C465E5DF-C812-4F8A-8C70-76A90E77CD00} - System32\Tasks\{F9333E56-50AD-4BDC-97BB-12F06E5DAEE7} => pcalua.exe -a "D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica\unins000.exe" -d "D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica" HKLM\...\Run: [ApnUpdater] => "C:\Program Files\Ask.com\Updater\Updater.exe" HKLM\...\Run: [] => [X] HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [Hoolapp Android] => C:\Users\Łukasz\AppData\Roaming\HoolappForAndroid\hoolapp.exe [0 2015-02-16] () HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [ChomikBox] => C:\Program Files\ChomikBox\chomikbox.exe HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [updateChecker] => C:\Program Files\SqueakyChocolate\UpdateChecker\UpdateCheckerApp.exe [7168 2013-08-25] (SqueakyChocolate, LLC) HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [Overwolf] => C:\Program Files\Overwolf\Overwolf.exe -silent HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [EpicScale] => [X] CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> D:\Gry\Nowy folder (3)\npuplaypc.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1424273314&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742 HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1424273314&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} URLSearchHook: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll No File SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {48860B13-5AD1-4154-B4EC-E2336D125D45} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {BB66CC2C-C777-412B-BA89-AB22B19CF40E} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {F2C54EB2-4410-4410-BA00-0B63335D73CE} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} BHO: IVONA Reader -> {8664889D-ED18-4713-918F-E2BB69D8452B} -> No File BHO: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File Toolbar: HKLM - IVONA Reader - {8664889D-ED18-4713-918F-E2BB69D8452B} - No File Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1424273314&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742 FF Plugin HKU\S-1-5-21-3215043942-3594844569-900473125-1000: ubisoft.com/uplaypc -> D:\Gry\Nowy folder (3)\npuplaypc.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xm FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml C:\Program Files\Ashampoo C:\Program Files\dumps C:\Program Files\predm C:\Program Files\XTab C:\ProgramData\APN C:\ProgramData\EpicScale C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\File Association Manager C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MailShare\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MailShare\Usuń.lnk C:\Users\Łukasz\AppData\Local\APN C:\Users\Łukasz\AppData\Local\Google C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{D5ACB578-5420-4C19-B1F6-C7FF86479E0D} C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{7D474929-7F71-4B0A-B604-071CAE46C3D6} C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{70151653-A806-4B60-9857-56146A39F8B2} C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{019D8652-C8EB-4C48-AC36-B89C41D92B18} C:\Users\Łukasz\AppData\Roaming\00000000-1424277125-0000-0000-001FD0DFE546 C:\Users\Łukasz\AppData\Roaming\HoolappForAndroid C:\Users\Łukasz\AppData\Roaming\OpenCandy C:\Users\Łukasz\AppData\Roaming\Security Systems C:\Users\Łukasz\AppData\Roaming\Solvusoft C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\SendTo\IVONA Reader.lnk C:\Users\Łukasz\Desktop\hs_err_pid13848.log C:\Users\Public\Desktop\Your Software Deals.url C:\Windows\system32\temp.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla\Seamonkey /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi (Shortcut już mi nie jest potrzebny). Dołącz też plik fixlog.txt.

Ostatnie akcje wykonane. Na koniec: Skasuj używane narzędzia z D:\czyszczenie. Popraw za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Brakuje nowego skanu:

Skoro system się nie uruchamia, podaj raport z FRST zrobiony z poziomu środowiska zewnętrznego RE: KLIK.

Czy są jeszcze jakieś problemy? Wszystko pomyślnie przetworzone. Jeszcze drobnostki: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > sprawdź ile jest pozycji Google na liście - ustaw jako domyślną wyszukiwarkę Google inną niż obecna skierowana na hxxps://www.google.pl/search?q={searchTerms}?trackid=sp-006 2. Uruchom AdwCleaner ponownie, wybierz tylko opcję Szukaj i dostarcz nowy log C:\AdwCleaner\AdwCleanerR1.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) na następującym ustawieniu: odznacz Whitelist dla pozycji Internet.

Blokada zapory i Windows Update wynika raczej z czego innego: działa tu Avast na spółkę z nieudolnie odinstalowanym starym McAfee (on działa w tle, mimo że nie ma wejścia na liście zainstalowanych). To jest pakiet IS - aktywna jest zapora McAfee, co oznacza automatyczną deaktywację Zapory Windows. Owszem, są też szczątki adware, ale to poboczna sprawa i nie ma żadnego wpływu na niemoc komponentów Windows. Widzę, też że używałeś (do wyrzucenia): - FixZeroAccess: to stare narzędzie, usuwa wariant, który jest wymarły. Jest multum przyczyn dla których nie działa Zapora czy Windows Update, infekcja ZeroAccess to tylko jedna z tysiąca przyczyn. - HijackThis: to program przestarzały i 32-bitowy, zupełnie się nie nadaje na Windows 64-bit (pokazuje fałszywe wyniki "file missing", gdyż nie widzi natywnie 64-bitowej części). Wstępnie: 1. Wejdź w Tryb awaryjny Windows. Zastosuj McAfee Consumer Product Removal Tool. Widzę, że on już jest pobrany i chyba używany, ale prawdopodobnie robiłeś to z poziomu Trybu normalnego Windows (czynne sterowniki McAfee mogą zablokować zrobienie im krzywdy). 2. Opuść Tryb awaryjny. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00FEC37E-2E01-4F2E-B6A5-7249387A81B4} - \globalUpdateUpdateTaskMachineCore No Task File Task: {03E86E98-2BA6-42B7-A13E-39910686AD65} - System32\Tasks\{1CF293E6-69FC-46D8-AAA4-CE0E08A6B3BF} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {043EDB0B-88E0-4408-A7F7-190B8AFB4A5A} - System32\Tasks\{BCA34CCE-5E94-4811-B0A9-7928BB613B82} => pcalua.exe -a C:\Users\mateusz\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\mateusz\Downloads Task: {055662D5-A6A8-4865-8944-4372D0A9A1EC} - \241088c9-696a-4418-bda9-b3b4bab05fe5-6 No Task File Task: {09C5D82D-F120-49A0-8BC2-031DE0A8CBE0} - System32\Tasks\{8B3C4B1B-17D2-4F33-ADF4-681C21CA6806} => pcalua.exe -a C:\Users\mateusz\AppData\Local\Temp\Low\{5B87788F-2F05-4420-AC80-2FE12D6E08A7}\adobeshockwavextrabundle.exe -d C:\Users\mateusz\Desktop -c /xtrabundle=BC_Shockwave_3D_Asset Task: {0C8D7EEC-654B-4F4A-897C-A2801C2D20E6} - \globalUpdateUpdateTaskMachineUA No Task File Task: {0E55065D-7B9B-476F-B764-ED7D798524C1} - System32\Tasks\{822088F6-7A6D-4728-9960-C1D45A0144CE} => pcalua.exe -a "C:\Program Files (x86)\G Data\InternetSecurity\GUI\GDSC.exe" -d C:\Users\mateusz\Desktop Task: {0FFA6EC1-3C0D-4B6F-AA54-8863AADAD76D} - \BlockAndSurf Update No Task File Task: {107F7900-B507-4FCF-A8E3-7FC654FC43C0} - \SaveSenseLiveUpdateTaskMachineUA No Task File Task: {110567EE-B756-4756-8180-D63567E1E9EC} - System32\Tasks\{AFC10F2E-499C-41DF-AB28-A299152CC148} => pcalua.exe -a E:\Install.exe -d E:\ Task: {128C077C-7678-47EE-96CA-ACF37E3319AD} - \241088c9-696a-4418-bda9-b3b4bab05fe5-7 No Task File Task: {1E356FD0-747E-482A-98F5-48C1F04AEB69} - \SaveSense No Task File Task: {23E2E1D2-CAA2-429B-991B-A5961BD620D6} - \BitGuard No Task File Task: {3AC4BCFF-79CE-4FBC-A49F-BB464AC3EA84} - \241088c9-696a-4418-bda9-b3b4bab05fe5-4 No Task File Task: {3CF73285-6B96-4AF9-91D8-5046085EEE27} - System32\Tasks\{4B5C51CB-56F8-4261-8DFC-A75F60FEB17C} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {3D1A434F-2713-4244-AD9C-B9242541F7D0} - \BlockAndSurf_wd No Task File Task: {4BF5E155-582D-43EE-AB62-950E381C91CE} - \241088c9-696a-4418-bda9-b3b4bab05fe5-1 No Task File Task: {518EE03F-A36E-4211-A6EB-C1EA83DAA9A9} - System32\Tasks\{CC53FC14-8864-45A4-95FE-7E0AC82BD696} => pcalua.exe -a C:\Users\mateusz\AppData\Roaming\awesomehp\UninstallManager.exe Task: {52245D7D-7F8B-4C26-93DB-EE242F78F872} - \AmiUpdXp No Task File Task: {55A22B93-FC75-4D72-A971-9067DC6DA2CD} - System32\Tasks\{591EB96F-08F2-4D62-AE1E-470AFB8C62BD} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {5C571624-B7B9-48F6-9ACE-5365BFA04590} - System32\Tasks\{4254C72F-578D-4F99-9194-33F3ED423B3B} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {6D20318F-CA03-4D57-9D8E-547051584711} - System32\Tasks\{CEDB865C-C777-49E8-B41C-83B12C0941AC} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {707028F2-4AA0-4AC7-98E0-ED14BF12BE51} - \SaveSenseLiveUpdateTaskMachineCore No Task File Task: {71A66698-D02D-496B-A701-7712890272E9} - System32\Tasks\{4142C8E7-7E1E-4AAE-9FAE-EDD32E84AF25} => pcalua.exe -a C:\Users\mateusz\AppData\Local\Temp\Low\{B442FEDE-914F-4090-8E2C-98DFF30D18DD}\adobeshockwavextrabundle.exe -d C:\Users\mateusz\Desktop -c /xtrabundle=BC_SwaStrm Task: {766FDA0C-7208-4EEF-B19D-92A33E7DC769} - System32\Tasks\{8F56A9DC-B252-4121-AD03-D8E682286DBE} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {7A9BB502-5BEB-45A9-93AE-D799BF69AE78} - System32\Tasks\RMSchedule => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: {8535685E-E8C4-4792-A6AB-D7BF888AAF39} - System32\Tasks\Norton Security Scan for mateusz => C:\PROGRA~2\NORTON~2\Engine\361~1.11\Nss.exe Task: {8B083170-873B-45BE-9D58-F8C30C4046C4} - \RegClean Pro_DEFAULT No Task File Task: {8ED3A920-5BEC-4C2F-8573-B08CB20DF9B7} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {97B9BE3D-D4B8-4BBA-9FE6-F96C50AB31AA} - \241088c9-696a-4418-bda9-b3b4bab05fe5-5 No Task File Task: {996734FE-039D-4F6F-A7F1-20ADF4AA58F9} - System32\Tasks\APSnotifierCA => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {A3CDB19D-19B3-4228-A90F-AF6DDBE7A5BD} - \241088c9-696a-4418-bda9-b3b4bab05fe5-3 No Task File Task: {AD62135A-BA21-47C2-A106-AC5429F3EA97} - \241088c9-696a-4418-bda9-b3b4bab05fe5-2 No Task File Task: {C0D4B0D0-E048-4BB7-AC19-9E4C6DAA2151} - System32\Tasks\{2B68B673-39CC-4C4E-8D3B-027ACFE00093} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {C53BBE77-EA74-4DC5-8A89-F0C8622AFA8B} - System32\Tasks\{54461FC2-3FD1-4FE3-A818-5FE76EE01CF0} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {CACFBDBA-3D14-49DE-94B7-B031762BABE7} - System32\Tasks\{FE7977C2-BEBB-4374-81F6-6E5AF4B00642} => pcalua.exe -a c:\PROGRA~2\COMMON~1\ADOBEA~1\Versions\1.0\ADOBEA~1.EXE -d C:\Users\mateusz\Downloads -c "C:\Users\mateusz\Downloads\ifscl248c (1).air" Task: {D2EE992F-CFC4-45CC-8EF9-4D9C7A198408} - System32\Tasks\{99FFE0C2-F982-49B9-9B01-3B882636BA5C} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {E3D87B30-8150-4524-895C-C15018F4D9AB} - System32\Tasks\{AD963E2D-CA51-4956-9C3D-F78C2D3B9E52} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {E5BAE136-44C5-4ADE-9537-7DB826EDC00A} - System32\Tasks\{6C57434D-05B1-4989-8342-5BDDD20CA535} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c C:\Gratka\ZG_Demo\start.exe Task: {E6C1F2E6-B766-4CF3-B715-BABB51A183C1} - System32\Tasks\RMAutoUpdate => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: {EE1BD01F-7F5D-49E2-9A63-D5602D85F6A3} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles Updater\GFFUpdater.exe Task: {FE754B3A-6ED4-4B17-9454-01EF20FA5FEC} - System32\Tasks\{0EF0D1B2-EF93-4AF1-A0B6-DF1FD2C12CBB} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c C:\Bakoma\bakoma.exe Task: C:\Windows\Tasks\McAfee Cleanup.job => C:\Users\mateusz\AppData\Local\Temp\MCPR\mccleanup.exe Task: C:\Windows\Tasks\RMAutoUpdate.job => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: C:\Windows\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe S4 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [793048 2012-03-21] (PC Tools) S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM-x32\...\Run: [sSDMonitor] => C:\Program Files (x86)\Common Files\PC Tools\sMonitor\SSDMonitor.exe [103896 2012-03-21] (PC Tools) HKU\S-1-5-21-2026956122-931518800-205582366-1000\...\MountPoints2: K - K:\LaunchU3.exe -a GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} Toolbar: HKU\S-1-5-21-2026956122-931518800-205582366-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HomePage: Default -> https://www.google.pl/webhp?sourceid=chrome-instant&rlz=1C1ASAC_enPL471&ion=1&espv=2&ie=UTF-8 CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_f61be305-461b-4149-9745-e874f3166cfe" CHR DefaultNewTabURL: Default -> http://search.yahoo.com/?fr=hp-ddc-bd-tab&type=616_pr__alt__ddc_dsssyctab_bd_com CHR HKLM-x32\...\Chrome\Extension: [dmalcdljnnlplhfoanpjmkinnjjilmof] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha7515\ch\MediaViewV1alpha7515.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pacjkhgobllpadpndpolldjgoibibjkk] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha3654\ch\TrustMediaViewerV1alpha3654.crx [Not Found] FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL No File FF Plugin-x32: @mcafee.com/MSC,version=10 -> c:\progra~2\mcafee\msc\npmcsn~1.dll () FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver" C:\Program Files (x86)\Common Files\PC Tools C:\Program Files (x86)\EgisTec C:\Program Files (x86)\EgisTec Egis Software Update C:\Program Files (x86)\G Data C:\Program Files (x86)\PC Tools Registry Mechanic C:\ProgramData\89c775be-12de-4e15-846c-6b3e6a8c39a2 C:\ProgramData\G DATA C:\ProgramData\Malwarebytes C:\ProgramData\Norton C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Flash Movie Player C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka C:\Users\mateusz\AppData\Local\*.tmp C:\Users\mateusz\AppData\Local\{*} C:\Users\mateusz\AppData\Local\11894 C:\Users\mateusz\AppData\Local\22211 C:\Users\mateusz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\mateusz\AppData\Local\MyWinLockerInstaller.txt-20150218.log C:\Users\mateusz\AppData\Roaming\Dropbox C:\Users\mateusz\Desktop\Złoty Gryziwąs (Demo).lnk C:\Users\Public\Desktop\Norton Online Backup.lnk C:\Users\Public\Desktop\PC Tools Registry Mechanic.lnk C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BlockAndSurf" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_128" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_149" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\G Data AntiVirus Tray Application" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GDFirewallTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Yahoo kierujące na adres rts.dsrlte.com oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy występują po w/w czyszczeniu.

Działania poprawkowe: 1. W międzyczasie zainstalowałeś kolejne śmieci. Odinstaluj FLVPlayer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 Security Updates Service; C:\Program Files (x86)\Security Updates Service\winupdsvc.exe [861696 2014-09-05] () [File not signed] R2 serversu; C:\Users\tony\AppData\Roaming\SoftwareUpdater\SUsrv.exe [217088 2015-02-11] () [File not signed] S1 wpnfd_1_10_0_9; system32\drivers\wpnfd_1_10_0_9.sys [X] Task: {09D8972F-7ECD-46D6-B8D4-9FD2F5BD1BED} - System32\Tasks\Taplika => C:\Users\tony\AppData\Roaming\Taplika\UpdateProc\UpdateTask.exe [2015-02-18] () Task: {126F1177-1362-448B-B188-2891BCAE973B} - System32\Tasks\ProPCCleaner_Start => C:\Program Files (x86)\Pro PC Cleaner\ProPCCleaner.exe Task: {1427930C-DC9B-4624-9054-83BC0434FF76} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {2A3DC940-B5B2-4328-8DF8-9B70F8D26CD6} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {4861A125-A5A9-4EAE-ABBB-322B1F59037C} - System32\Tasks\{A478F646-3406-4B08-BC83-F093C00B91CA} => pcalua.exe -a "C:\Program Files (x86)\Wajam\uninstall.exe" Task: {612D53EF-F46C-43F3-B2B3-8C8BD2436EC3} - System32\Tasks\PostPoneInstall => C:\Users\tony\AppData\Local\Temp\ce98ac2e-20c0-4a93-86f6-bdb3e61caf55.exe Task: {AF738624-1BCE-43E9-9D16-406D740C2492} - System32\Tasks\{45B98C63-7830-4D65-ACF9-6C63439458C0} => pcalua.exe -a "C:\Program Files (x86)\WildGames\Uninstall.exe" Task: {C94C9AD5-F816-42A7-91ED-3271E641D2FC} - System32\Tasks\Run_Bobby_Browser => C:\Users\tony\AppData\Local\BoBrowser\Application\bobrowser.exe Task: {D8564587-09DC-4B5A-8624-FE64DF7C0866} - System32\Tasks\{E5BFA09E-B581-4BF7-8FE7-E08FF47CB22C} => pcalua.exe -a C:\Users\tony\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Taplika.job => C:\Users\tony\AppData\Roaming\Taplika\UPDATE~1\UPDATE~1.EXE Startup: C:\Users\tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OPTISetup.lnk Startup: C:\Users\tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk HKLM\...\Run: [3D BubbleSound] => "C:\Program Files\BubbleSound\3D BubbleSound.exe" HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [gmsd_gb_130] => [X] HKLM-x32\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\tony\AppData\Roaming\Taplika\UpdateProc\bkup.dat" HKLM-x32\...\RunOnce: [spUninstallCleanUp] => REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\tony\AppData\Roaming\Taplika\UpdateProc\bkup.dat" HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\...\MountPoints2: {40f1f7c9-b226-11e4-beb7-b888e3cfe887} - "F:\setup.exe" CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:53182;https=127.0.0.1:53182 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKLM -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = http://www.default-search.net/search?sid=498&aid=159&itype=n&ver=15446&tm=622&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = http://www.default-search.net/search?sid=498&aid=159&itype=n&ver=15446&tm=622&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3329908&octid=EB_ORIGINAL_CTID&ISID=MC2E4D316-0118-4242-81E8-F43485229BCF&SearchSource=58&CUI=&UM=2&UP=SP7432F7A1-4CC6-41B8-BEC3-A0F57B00F89E&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3329908&octid=EB_ORIGINAL_CTID&ISID=MC2E4D316-0118-4242-81E8-F43485229BCF&SearchSource=58&CUI=&UM=2&UP=SP7432F7A1-4CC6-41B8-BEC3-A0F57B00F89E&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {2DF96447-06FF-45B9-80C0-DD3762EFDB26} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = http://www.default-search.net/search?sid=498&aid=159&itype=n&ver=15446&tm=622&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {DE6732B4-C9B3-4E16-BB71-2283ED5D25C5} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR StartupUrls: Default -> "hxxp://google.pl/", "hxxp://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T" CHR DefaultSearchKeyword: Default -> mystartsearch CHR HKLM\...\Chrome\Extension: [lfkjojacgdjkninepeghaamnapdjmlfn] - No Path CHR HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\...\Chrome\Extension: [lfkjojacgdjkninepeghaamnapdjmlfn] - No Path CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-16] CHR HKLM-x32\...\Chrome\Extension: [iomphmdalfmaifjccmagmllnicjoghhk] - No Path CHR HKLM-x32\...\Chrome\Extension: [lfkjojacgdjkninepeghaamnapdjmlfn] - No Path HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\error.txt C:\prefs.js C:\Program Files\BubbleSound C:\Program Files (x86)\FLVPlayer C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\HomeTab C:\Program Files (x86)\predm C:\Program Files (x86)\Pro PC Cleaner C:\Program Files (x86)\Reverse Page C:\Program Files (x86)\SearchProtect C:\Program Files (x86)\Security Updates Service C:\Program Files (x86)\Setup Support for SearchProtect C:\Program Files (x86)\ver1BlockAndSurf C:\Program Files (x86)\Wajam C:\Program Files (x86)\XTab C:\ProgramData\cryptoDrvUpdate.exe C:\ProgramData\{b7dcd416-2d7c-bcf7-b7dc-cd4162d75058} C:\ProgramData\{dd389746-f1b7-0d61-dd38-89746f1b5d1b} C:\ProgramData\8da1b290000036d6 C:\ProgramData\APN C:\ProgramData\Apple C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 C:\Users\tony\AppData\Local\824078 C:\Users\tony\AppData\Local\BoBrowser C:\Users\tony\AppData\Local\globalUpdate C:\Users\tony\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\tony\AppData\Local\Google\Chrome\User Data\Default\Extensions\iomphmdalfmaifjccmagmllnicjoghhk C:\Users\tony\AppData\Local\Google\Chrome\User Data\Default\Extensions\mppnoffgpafgpgbaigljliadgbnhljfl C:\Users\tony\AppData\Local\Pro_PC_Cleaner C:\Users\tony\AppData\Roaming\*.log C:\Users\tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLVPlayer C:\Users\tony\AppData\Roaming\mystartsearch C:\Users\tony\AppData\Roaming\Nosibay C:\Users\tony\AppData\Roaming\SoftwareUpdater C:\Users\tony\AppData\Roaming\Store C:\Users\tony\AppData\Roaming\Taplika C:\Users\tony\AppData\Roaming\WTools C:\Users\tony\Desktop\FLVPlayer-Chrome.exe C:\Users\tony\Documents\Optimizer Pro C:\Users\tony\Documents\ProPCCleaner C:\Windows\msdownld.tmp C:\Windows\SysWOW64\${LOGFILE} Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v iTunesHelper /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v KiesTrayAgent /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware i sponsorów: ArcadeYum, Avast SafePrice, CrushArcade, iLivid i co tam jeszcze widzisz podejrzanego. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz raporty z folderu C:\AdwCleaner (był używany, nie uruchamiaj ponownie, chodzi o poprzednie wyniki).

Te rozszerzenia były w Google Chrome i usuwałam ich foldery. Usuwanie folderu za pomocą FRST nie czyści preferencji Chrome i nazwy rozszerzeń pozostają na liście rozszerzeń. Skoro tego nie widzisz, albo to były szczątki, albo Chrome zrobiło "autoreset". Poza tą niespójnością, wszystko wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: URLSearchHook: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No File BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File C:\Program Files (x86)\Comodo C:\Program Files (x86)\DealPly C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\OpenOffice.org 3 C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\AVG C:\ProgramData\Babylon C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\log C:\ProgramData\OpenFM C:\ProgramData\Partner C:\ProgramData\Sun C:\Users\ALEKSANDRA\AppData\Local\AVG C:\Users\ALEKSANDRA\AppData\Local\cache C:\Users\ALEKSANDRA\AppData\Local\Comodo C:\Users\ALEKSANDRA\AppData\Local\CrashRpt C:\Users\ALEKSANDRA\AppData\Local\Genesis_08300402 C:\Users\ALEKSANDRA\AppData\Local\genienext C:\Users\ALEKSANDRA\AppData\Local\globalUpdate C:\Users\ALEKSANDRA\AppData\Local\Mobogenie C:\Users\ALEKSANDRA\AppData\Local\Pay-By-Ads C:\Users\ALEKSANDRA\AppData\LocalLow\DataMngr C:\Users\ALEKSANDRA\AppData\LocalLow\Oracle C:\Users\ALEKSANDRA\AppData\LocalLow\Sun C:\Users\ALEKSANDRA\AppData\Roaming\AVG C:\Users\ALEKSANDRA\AppData\Roaming\Babylon C:\Users\ALEKSANDRA\AppData\Roaming\Browser Tab Search by Ask C:\Users\ALEKSANDRA\AppData\Roaming\BRT C:\Users\ALEKSANDRA\AppData\Roaming\DealPly C:\Users\ALEKSANDRA\AppData\Roaming\Gadu-Gadu 10 C:\Users\ALEKSANDRA\AppData\Roaming\newnext.me C:\Users\ALEKSANDRA\AppData\Roaming\ol C:\Users\ALEKSANDRA\AppData\Roaming\OpenCandy C:\Users\ALEKSANDRA\AppData\Roaming\OpenFM C:\Users\ALEKSANDRA\AppData\Roaming\OpenOffice.org C:\Users\ALEKSANDRA\AppData\Roaming\RHEng C:\Users\ALEKSANDRA\AppData\Roaming\rmi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Temat założony w złym dziale. Przenoszę do działu diagnostyki infekcji. Zestaw logów FRST niekompletny - brak trzeciego obowiązkowego raportu FRST Shortcut. Co to za "fixlist" - to Ty go sam robiłeś? Jeśli tak, to należy podać wynikowy plik C:\FRST\Logs\Fixlog_data_czas.txt. W podanych raportach brak jakichkolwiek oznak adware/infekcji - czy problemy na pewno nadal występują?

"Bump" usuwam. Odpowiedź się pojawia, gdy autoryzowany pomocnik jest obecny, ma czas oraz koncepcję. Podałeś raporty ze strasznie starej wersji FRST pozbawionej licznych nowych skanów, komend i poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-07-2014 (ATTENTION: ====> FRST version is 210 days old and could be outdated) Ten program jest aktualizowany tak często (niejednokrotnie prawie dzień po dniu), że należy go za każdym razem pobierać od nowa! Proszę pobierz z przyklejonego najnowszą wersję i zrób nowe logi (wszystkie trzy): KLIK.

Mamy tu: wątpliwy program YAC(Yet Another Cleaner!) (to jest PUP = Potentially Unwanted Program!), koszmarnie stary Avast (o mój Boże, wersja z 2009!) oraz adware. W opisywanych problemach podstawową przyczyną moją być YAC, przykłady co wyczyniał na forum: KLIK, KLIK. Działania wstępne do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj stary avast! Antivirus oraz adware/PUP: Browser Good, HD Cinema Pro 1.8cV16.02, istartsurf uninstall, RegClean-Pro, Search App by Ask, Super Optimizer v3.2, Update for PriceFountain, WinZipper, YAC(Yet Another Cleaner!). 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut.

Na razie brak tu jakichkolwiek oznak infekcji. Tylko drobny szczątek adware na liście zainstalowanych: Installer (HKLM-x32\...\VOPackage) (Version: 1.0.0.0 - ) Odinstaluj tego śmiecia siedząc na koncie administracyjnym Aga. Podaj mi na wszelki wypadek wyniki tego testu: KLIK. Skan FRST został zrobiony z poziomu kontekstu administracyjnego konta Aga a nie limitowanego Agusia - "Ran by Aga": Ran by Aga (administrator) on AGA on 16-02-2015 00:59:39 Running from C:\Users\Agusia\Desktop Loaded Profiles: Aga & Agusia (Available profiles: Aga & Agusia)[/b] ==================== Accounts: ============================= Aga (S-1-5-21-2403310642-1225698830-1158638626-1001 - Administrator - Enabled) => C:\Users\Aga Agusia (S-1-5-21-2403310642-1225698830-1158638626-1005 - Limited - Enabled) => C:\Users\Agusia Jeśli na koncie limitowanym uruchamiasz FRST za pomocą opcji "Uruchom jako Administrator", zmienia się całkowicie kontekst uprawnień i FRST działa oraz pobiera dane przede wszystkim z poziomu konta administracyjnego a nie limitowanego. Tu w raporcie tylko częściowo są załadowane ustawienia konta limitowanego, czyli nie jest tu w ogóle pokazany właściwy profil przeglądarki. FRST na koncie limitowanym należy uruchomić przez dwuklik i nie robić elewacji uprawnień. Jeśli jest więcej niż jedno konto, należy robić indywidualne raporty FRST z każdego z osobna po całkowitym wylogowaniu poprzedniego konta (czyli restart systemu, a nie opcje Wyloguj czy Przełącz użytkownika). Pod kątem profilu przeglądarki zrób jeszcze raz główny raport FRST (bez Addition i Shortcut) z poziomu konta limitowanego. 1. Dziennik zdarzeń nie podaje żadnego konkretnego tropu: Application errors: ================== Error: (02/10/2015 01:10:29 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program Explorer.EXE w wersji 6.1.7601.17567 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji. Identyfikator procesu: 22ac Godzina rozpoczęcia: 01d042e39d7c72d0 Godzina zakończenia: 0 Ścieżka aplikacji: C:\windows\Explorer.EXE Identyfikator raportu: c620dad1-b11d-11e4-91a2-ec55f9e043b6 Tu można podejrzewać jedno z dwóch: Kaspersky Internet Security 2013 lub jakieś wadliwe rozszerzenie powłoki. Podejrzanych sporo, np. "Corel Shell Extension - 64Bit", w systemie działa też archaiczny Firebird i inne programy integrujące się z powłoką. Wykonaj test wstępny: Uruchom ShellExView x64. Poprzez klik w belkę Company posortuj wpisy tak by wszystkie producentów trzecich (oznaczone na różowym tle) zgrupowały się razem. Z wciśniętym CTRL zaznacz hurtem wszystkie te "różowe" i zdeaktywuj, następnie zresetuj system. Podaj wyniki czy explorer nadal się samoistnie resetuje. 2. Dodatkowa sprawa, moduł Hewlett-Packard (hpzjcd01.dll) wykłada usługę Bufor wydruku: Application errors: ================== Error: (02/14/2015 09:40:36 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: spoolsv.exe, wersja: 6.1.7601.17777, sygnatura czasowa: 0x4f35fc1d Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.1.7601.18409, sygnatura czasowa: 0x5315a05a Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000003a28 Identyfikator procesu powodującego błąd: 0x19c8 Godzina uruchomienia aplikacji powodującej błąd: 0xspoolsv.exe0 Ścieżka aplikacji powodującej błąd: spoolsv.exe1 Ścieżka modułu powodującego błąd: spoolsv.exe2 Identyfikator raportu: spoolsv.exe3 Error: (02/06/2015 11:42:05 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: spoolsv.exe, wersja: 6.1.7601.17777, sygnatura czasowa: 0x4f35fc1d Nazwa modułu powodującego błąd: hpzjcd01.dll, wersja: 8.2.16.0, sygnatura czasowa: 0x515df290 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000188ae Identyfikator procesu powodującego błąd: 0x6c8 Godzina uruchomienia aplikacji powodującej błąd: 0xspoolsv.exe0 Ścieżka aplikacji powodującej błąd: spoolsv.exe1 Ścieżka modułu powodującego błąd: spoolsv.exe2 Identyfikator raportu: spoolsv.exe3 Datowanie w raportach wskazuje, że majdan HP jest stary. Poszukaj czy są aktualizacje.

adamek, posługujesz się potwornie starym FRST pozbawionym nowych komend, skanów i innych fiksów: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 28-09-2014 (ATTENTION: ====> FRST version is 139 days old and could be outdated) Ten program jest aktualizowany tak często (niejednokrotnie prawie dzień po dniu), że należy go za każdym razem pobierać od nowa! Proszę pobierz z przyklejonego najnowszą wersję i zrób nowe logi (wszystkie trzy): KLIK.

1. Deinstalator SpyHunter jest w Menu Start: ShortcutWithArgument: C:\Users\PC\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\PC\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh Uruchom ten skrót LNK: C:\Users\PC\Start Menu\Programs\SpyHunter\Uninstall.lnk. Jeśli proces się nie powiedzie, dopiero wtedy będziemy kombinować "na chama". 2. Ustaw przeglądarkę Firefox jako domyślną, gdyż obecnie stoi tu nieistniejąca w systemie Opera: Internet Explorer Version 9 (Default browser: Opera) 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1765589224-887387816-2075540833-1000\...\Run: [softonicAssistant] => "C:\Users\PC\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe" HKU\S-1-5-21-1765589224-887387816-2075540833-1000\...\MountPoints2: {9497dbae-90f6-11e4-83c7-00a0c6000000} - J:\AutoRun.exe Task: {0638C36D-BE9F-44B9-9807-E1797F53CC6F} - System32\Tasks\{2357E72E-B93F-4FE8-A5FB-EA468755C856} => pcalua.exe -a C:\Users\PC\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {2D779EDE-6E56-4A76-9B42-65791634C53A} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-01-26] (Enigma Software Group USA, LLC.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1765589224-887387816-2075540833-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\Program Files (x86)\Google C:\Users\PC\AppData\Local\Opera Software C:\Users\PC\AppData\Roaming\Opera Software C:\Users\PC\Downloads\*(*)-dp*.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

GMER robiony w złym środowisku, liczne sterowniki emulatorów na chodzie: KLIK. R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-09-01] (Disc Soft Ltd) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-10-22] (Duplex Secure Ltd.) U3 az3kunts; C:\Windows\System32\Drivers\az3kunts.sys [0 ] (Advanced Micro Devices) Nie wiem czy dobrze rozumiem - brak sieci to usterka? Co widzę w raportach: - Są tu owszem ślady infekcji: wpisy typu Debugger blokujące określone aplikacje (ale nie te które wyliczasz) + zadanie Windows Update Check - 0x0E5602E0 w Harmonogramie udające to co w nazwie + wyłączony w msconfig wpis kierujący na ścieżkę C:\ProgramData\Windows Service Manager0. Nic tu jednak nie wskazuje, by infekcja była obecnie w stanie czynnym, ale owszem mogła uszkodzić pewne komponenty Windows (np. zintegrowany 32-bitowy Windows Defender). - Wątpliwe programy. O SpyHunter mówiłam już w innym temacie - to program z czarnej listy i badziew. Prócz tego jest kolejny wątpliwy cudak Dll-Files Fixer - tym tylko można się pogrążyć. Podobnie z DriverEasy - automatami do aktualizacji sterowników można sobie tylko zaszkodzić, sterowniki aktualizuje się precyzyjnie ręcznie. - Jeśli brak sieci to usterka, to nie ma konkretów, ale niepełnosprawny MSSE mocno podejrzany (ingeruje w sieć). - Uszkodzone WMI, sypie też błędami niekompatybilnych elementów LibUSB, Acronis ma problemy startowe: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. System errors: ============= Error: (02/19/2015 10:44:05 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Acronis OS Selector activator z powodu następującego błędu: %%1053 Error: (02/19/2015 10:44:05 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Acronis OS Selector activator. Error: (02/19/2015 10:43:05 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi LibUsb-Win32 - Daemon, Version 0.1.10.1 z powodu następującego błędu: %%2 Error: (02/19/2015 10:42:23 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\libusb0.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Wstępnie: 1. Odinstaluj problematyczne aplikacje i stare wersje: Acronis Disk Director Home, Adobe AIR, Adobe Reader 8, Dll-Files Fixer, DriverEasy 3.11.3, Java 7 Update 25 (64-bit), Java 7 Update 60, LibUSB-Win32-0.1.10.1, Microsoft Security Essentials. Deinstalacje muszą być wykonane z poziomu Trybu normalnego Windows, w awaryjnym nie działa Instalator Windows. Po deinstalacji MSSE podejmij się po raz kolejny próby naturalnej deinstalacji SpyHunter. Jeśli się nie uda, zajmę się tym w inny sposób. Dodatkowo, uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper (chodzi o starszą wersję 1.3.25.11) > Dalej. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 4. Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\hijackthis.exe: [Debugger] cx_.exe IFEO\housecalllauncher.exe: [Debugger] qx_.exe IFEO\rstrui.exe: [Debugger] xs_.exe IFEO\spybotsd.exe: [Debugger] qt_.exe Task: {1147566B-E799-4B67-BCEF-97C652F0153E} - System32\Tasks\{4612FDC6-C735-4D62-A8EF-F8FBCFC7D209} => pcalua.exe -a C:\Users\TNR\Downloads\YouRipper2.40_www.INSTALKI.pl.exe -d C:\Users\TNR\Downloads Task: {370BB7A5-C48A-4C21-BE19-4E362DBB7011} - System32\Tasks\{C97263FD-A714-4617-9D4B-2914458BDE71} => pcalua.exe -a C:\Games\Bioshock\Prerequisites\vcredist_x86_vs2008sp1.exe -d C:\Games\Bioshock\Prerequisites Task: {56A8A750-0979-4723-B3C4-2975907942BF} - System32\Tasks\{0998C79C-40F4-4A4B-9F2C-B69BF490ACFB} => pcalua.exe -a G:\OriginInstaller.exe -d G:\ Task: {8353AA0E-C4EF-4285-9035-45C40A78DCBD} - System32\Tasks\{A7C184BF-697B-4286-B65A-17E2F4C2CCD6} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {9796B1BB-BDAB-42BF-A861-2E6B52EFE75F} - System32\Tasks\{979FF0B0-3491-4C7D-8A9D-8899DAAA7941} => pcalua.exe -a C:\Games\Outlast-GameWorks\Outlast\Binaries\UnSetup.exe -d C:\Games\Outlast-GameWorks\Outlast\Binaries Task: {9D8043CA-2420-4666-A72C-AFFF977F3E76} - System32\Tasks\{4906BB0D-C558-4899-89A2-99985AE50016} => pcalua.exe -a C:\Users\TNR\Downloads\XFXATHX_PCDRV_WIN8_LB_1_02_0061.exe -d C:\Users\TNR\Downloads Task: {A9D90C7B-1A64-47A8-B6D7-A5718C441007} - System32\Tasks\{DF6CADC4-3B94-4FD5-B66C-BA4CE6081633} => pcalua.exe -a F:\Support\vcredist_x86.exe -d F:\Support Task: {B00E30A8-32BB-4145-9CFE-908D36EDAD20} - System32\Tasks\{5D15044C-7FE9-4288-95B4-CBF9C8D643B7} => pcalua.exe -a C:\Users\TNR\Downloads\A9CADV2Setup_www.INSTALKI.pl.exe -d C:\Users\TNR\Downloads Task: {DA999580-CA35-49BC-93A1-3E414441EB88} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-02-19] (Enigma Software Group USA, LLC.) Task: {DB0F7EFD-9791-4A23-8AA4-D92EC92D7D8A} - System32\Tasks\Windows Update Check - 0x0E5602E0 => C:\ProgramData\Windows Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {EB6F9340-3F9D-464F-B5F0-1EB4B0AD0C65} - System32\Tasks\{A5636CFE-8BA2-4230-8760-FD30F9D16D87} => pcalua.exe -a "C:\Users\TNR\Desktop\sterownik ds3\libusb-win32-filter-bin-0.1.10.1.exe" -d "C:\Users\TNR\Desktop\sterownik ds3" Task: {FC70B0A2-9332-433A-AEF1-C926294B85CA} - System32\Tasks\{A9B7413A-2A89-4D1F-974E-8A3046D7703E} => pcalua.exe -a "C:\Program Files (x86)\Outlast\Binaries\UnSetup.exe" -d "C:\Program Files (x86)\Outlast\Binaries" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163D CHR StartupUrls: Default -> "chrome://newtab/" FF user.js: detected! => C:\Users\TNR\AppData\Roaming\Mozilla\Firefox\Profiles\mla7rdpj.default\user.js C:\Program Files\qtcore4.dll C:\Program Files (x86)\qtcore4.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher\Duel of Champions Launcher Website.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim\Uruchom program The Elder Scrolls V Skyrim.lnk C:\ProgramData\Windows Service Manager0 C:\Users\TNR\AppData\Local\CAF4267F-0CA6-4383-A2B2-515DD1A482A4.aplzod C:\Users\TNR\AppData\Local\genienext C:\Users\TNR\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\TNR\AppData\Local\Microsoft\Windows\GameExplorer\{2C22D370-3410-483C-8F22-E14B3AEED6CC} C:\Users\TNR\Desktop\SpyHunter 4.12.13.4202 + Patch C:\Users\TNR\Desktop\SpyHunter 4.12.13.4202 + Patch.rar C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Service Manager" /f Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{D16734C7-150F-3DC5-ADAC-15951B232AB6} /s CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Napraw uszkodony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\TNR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Dokładnie wypowiedz się co się dzieje po w/w naprawach.

SpyHunter to program-naciągacz z czarnej listy - pojawia się w wysoko pozycjonowanych na Google manipulowanych opisach "usuwania infekcji", byle go zainstalować i natknąć się na "opłaty". A kysz, a kysz! Nie pokazałeś co on rzekomo znalazł. I ten śmieciarski program w ogóle nie rozwiązał problemu - jest nadal duże śmietnisko adware, w tym czynne sterowniki adware. Ten ostatni fakt zapewne ma coś do rzeczy z mozolną poracą systemu i sieci, ale doinstalowany SpyHunter też dołożył cegłę. Do przeprowadzenia następujące operacje: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj adware, wątpliwy skaner, stare wersje i zbędniki: Adobe Reader 9.4.0 - Polish, Akamai NetSession Interface, FoxTab PDF Reader, Gadu-Gadu 10, Java™ 6 Update 22, Java™ 6 Update 31, Java™ 7 Update 4, JavaFX 2.1.0, OpenOffice.org 3.3, SpyHunter 4, SweetIM for Messenger 3.6, Update Manager for SweetPacks 1.0, YTD Video Downloader 4.3. ----> Jeśli tych dwóch programów typu "Sweet" nie będzie się dało odinstalować, to skorzystaj z tego narzędzia: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście SweetIM for Messenger 3.6 + Update Manager for SweetPacks 1.0 > Dalej. ----> Są tu także ślady niepoprawnie odinstalowanego McAfee i w tle chodzi stary McAfee SiteAdvisor. Zastosuj narzędzie McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-14] (StdLib) R1 {58aaf827-6246-4d80-8213-f02005f6345c}w64; C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys [48776 2014-11-30] (StdLib) R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-04-24] (StdLib) S1 F06DEFF2-5B9C-490D-910F-35D3A9119622; \??\C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc2.cfg [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1941029217-1621239754-420919328-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=TEUA&bmod=TEUA SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {817B9F6D-9CAF-499E-9906-6581FA90C6BB} URL = http://search.babylon.com/?q={searchTerms}&affID=110000&babsrc=SP_ss&mntrId=3c8da18d00000000000074de2bebcc12 SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {9017BACF-6012-4FBF-B98E-06FF65153EAC} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=349 SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {A4D199F8-A5D3-4859-87FE-963C70F4E5FA} URL = http://searchya.com/?chnl=tst-215&s=1&cr=1343013061&cd=2XzutAtN2Y1L1Qzu0D0CtD0E0AtCtA0AtB0A0AyC0AtCzz0DtN0D0TzutBtDtCtBtDyEtDzz&q={searchTerms} Toolbar: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HomePage: Default -> hxxp://rts.dsrlte.com?affID=na CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_46eb5e1d-f7f2-4562-8d60-f4ff377de045" CHR Extension: (SiteAdvisor) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2012-02-02] CHR Extension: (CinPl2.3c) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\iobcbdgacfkninlcbphihhdlkobkehia [2014-09-03] CHR Extension: (Allin1Convert) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfkanglmmnniiolknlhaajllgmlgcdkj [2014-01-30] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - No Path FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml FF Plugin-x32: @java.com/DTPlugin,version=10.4.1 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor Task: {0591D8C2-1230-483F-8E07-25282BA9AD9E} - System32\Tasks\{053A3232-8627-4376-9855-ED352F3EEFA2} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?page=tsProgressBar Task: {38A75E1E-1A9D-404A-81BD-8E644A7966CE} - System32\Tasks\{0D06F980-7FB8-4AA8-A50C-FCA657668871} => pcalua.exe -a "C:\Program Files (x86)\PLAY ONLINE\uninst.exe" Task: {67E41725-63D5-4770-A5D8-146A6616813D} - System32\Tasks\DealPly => C:\Users\ALEKSA~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Dealply.job => C:\Users\ALEKSA~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\globalUpdate C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^ALEKSANDRA^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aeria Ignite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sweetpacks Communicator" /f CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: sc config "PLAY ONLINE. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ALEKSANDRA\AppData\Local CMD: dir /a C:\Users\ALEKSANDRA\AppData\LocalLow CMD: dir /a C:\Users\ALEKSANDRA\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Allin1Convert, CinPl2.3c, SiteAdvisor i co tam jeszcze podejrzanego widać. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

Widzę tu szczątki reklamiarzy (złapani via "downloadery" i pliki cracków/keygenów) oraz dziwne DNS z Tel Avivu: KLIK / KLIK. Tcpip\..\Interfaces\{0BF6663B-50CC-460D-B7A9-6339A7036649}: [NameServer] 31.168.228.244,82.166.96.242 Tcpip\..\Interfaces\{17F13EC2-AACA-4ED9-907F-6593758DE0BF}: [NameServer] 31.168.228.244,82.166.96.242 Tcpip\..\Interfaces\{928E919F-C534-416D-93A0-A1A42CC22927}: [NameServer] 31.168.228.244,82.166.96.242 Do przeprowadzenia następujące działania: 1. Ustaw DNS z poziomu Windows (dla każdego z połączeń z osobna): KLIK. Wybierz opcję "Uzyskaj automatycznie". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 fdNEIMqQ; C:\ProgramData\otYUcrPH\fdNEIMqQ.exe [2733552 2015-02-15] (Rational Thought Solutions) R2 YouTubeDownload_A3; C:\Program Files (x86)\YouTube-Downloader\A3\youtubeserv.exe [2971224 2015-02-12] (Microsoftware) S3 SmbDrv; \SystemRoot\System32\drivers\Smb_driver_AMDASF.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] Task: {95B5993B-6401-4D91-985A-ED5D912FD952} - System32\Tasks\Binkiland lodi => Wscript.exe "C:\ProgramData\{C6F22E31-9670-FFB7-27F6-8F35F7745CBB}\1.9.1.1\fiber.js" "433a2f50726f6772616d446174612f7b43364632324533312d393637302d464642372d323746362d3846333546373734354342427d2f312e392e312e312f6c6f64692e646c6c" "687474703a2f2f73616f2e62696e6b702e636f6d2f" "--IsErIk" Task: {9E1FD56F-1110-4A5E-A63C-0C55910D27FD} - System32\Tasks\UKNC => C:\Users\Adrian\AppData\Roaming\UKNC.exe [2015-02-15] (HQ CinemaV15.02) Task: {F2912BD5-71BC-4C91-8FE7-0558A0104A46} - System32\Tasks\{E56E06C7-4926-4545-8719-D0830C9D4D4D} => pcalua.exe -a C:\Users\Adrian\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=obw Task: C:\Windows\Tasks\Binkiland lodi.job => C:\Windows\system32\wscript.exe Task: C:\Windows\Tasks\UKNC.job => C:\Users\Adrian\AppData\Roaming\UKNC.exe Startup: C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1AB14RN51.lnk HKLM-x32\...\Run: [gmsd_gb_141] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-3032066820-4217908898-2940429015-1002\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-3032066820-4217908898-2940429015-1002\...\Policies\Explorer: [NoControlPanel] 0 AppInit_DLLs-x32: c:/progra~3/{c6f22~1/191~1.1/lodi.dll => c:/progra~3/{c6f22~1/191~1.1/lodi.dll [964608 2015-02-06] () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:55570;https=127.0.0.1:55570 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hppp&ts=1424024485&from=squadm&uid=ST1500LM006XHN-M151RAD_S35UJ9AFB08930" C:\*.tmp C:\811675a7-6b00-4d66-89e4-2c63231d3d77 C:\Program Files (x86)\CloudScout Parental Control C:\Program Files (x86)\YouTube-Downloader C:\ProgramData\{C6F22E31-9670-FFB7-27F6-8F35F7745CBB} C:\ProgramData\{ebe603e3-29b5-181e-ebe6-603e329b0f8c} C:\ProgramData\{f6627632-43e3-1824-f662-2763243ed8c9} C:\ProgramData\otYUcrPH C:\rei C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Adrian\AppData\Local\HealthAlert C:\Users\Adrian\AppData\Roaming\UKNC C:\Users\Adrian\AppData\Roaming\UKNC.exe C:\Users\Adrian\AppData\Roaming\34444335-1424112260-3738-3844-3863BB9D9E86 C:\Users\Adrian\AppData\Roaming\omniboxes C:\Users\Adrian\Downloads\*crack*.exe C:\Users\Adrian\Downloads\*Keygen*.exe C:\Users\Adrian\Downloads\PremierDownloadManagerWrapper.ch.PremierDownloadManager_ag.oaofmoegfbfnnfaeembaimddemfjbefc.ch.exe C:\Users\Adrian\Downloads\ReimageRepair*.exe C:\Users\Adrian\Downloads\Setup*.exe C:\Windows\system32\Drivers\Msft_Kernel_webTinst_01009.Wdf CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz raporty z folderu C:\AdwCleaner (nie uruchamiaj go ponownie, chodzi o poprzednie wyniki). Poza tym, wyciągnij z kwarantanny FRST C:\FRST\Quarantine plik C:\Windows\Tasks\Binkiland lodi.job, spakuj do ZIP i prześlij mi go via jakiś serwis hostingowy.

Temat przenoszę do działu Windows. Przy niemożności uruchomienia usługi Instalator modułów Windows skan SFC jest awykonalny. W Dzienniku zdarzeń od razu był nagrany błąd uszkodzonego rejestru (kod 1017): System errors: ============= Error: (02/18/2015 04:16:48 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Instalator modułów systemu Windows zakończyła działanie; wystąpił następujący błąd: %%1017 Podlinkowane rozwiązania naprawy TrustedInstaller się nie aplikują, tu jest: "System próbował załadować lub przywrócić plik do Rejestru, ale określony plik nie jest w formacie plików rejestru". To oznacza uszkodzony któryś plik z C:\Windows\System32\config. W CBS.LOG powinien występować rekord podobny do: [Data - czas], Info CBS Failed to load the COMPONENTS hive from 'C:\Windows\System32\config\COMPONENTS' into registry key 'HKLM\COMPONENTS'. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] W związku z formą błędu rób Przywracanie systemu (równa się to odtworzeniu starszej postaci plików rejestru w C:\Windows\System32\config) do czasu, gdy nie było problemu, wybierając stosowny punkt: ==================== Restore Points ========================= 09-12-2014 17:36:57 avast! antivirus system restore point 20-01-2015 20:23:23 avast! antivirus system restore point 03-02-2015 19:59:11 Zaplanowany punkt kontrolny 15-02-2015 13:30:06 avast! antivirus system restore point Przywracanie systemu oczywiście odwróci cały skrypt FRST, ale on nie był istotny w kontekście sprawy. Po Przywracaniu należy zrobić nowe raporty FRST przedstawiające zmiany. Przy okazji komentarz: Firefoxa można było lepiej wyczyścić resetując go (objęłoby to więcej preferencji niż skrypt - w raporcie FRST były jeszcze powiązane z FF SearchPlugin preferencje SearchEngineOrder.* + Keyword.URL).

Był tu używany ComboFix i na ten temat: KLIK. Do przeprowadzenia następujące działania: 1. Włącz Przywracanie systemu, bo obecnie jest wyłączone. 2. Przez Panel sterowania odinstaluj: - Adware: PDF Converter Packages, TheSettlersOnline, Word Proser 1.10.0.9. - Stare wersje i zbędniki: Adobe Reader X (10.1.12) - Polish, Adobe Shockwave Player, Java 7 Update 71, Java™ 6 Update 31, Java™ 6 Update 5, Pasek narzędzi AOL 5.0. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: S2 22134214; "C:\Windows\system32\rundll32.exe" "c:\Program Files\Super Optimizer\SupOptStats.dll",ENT S2 jipifety; C:\Users\hp\AppData\Roaming\VOPackage\VOsrv.exe [X] HKLM\...\Run: [rec_pl_12] => C:\Program Files\rec_pl_12\rec_pl_12.exe [3977360 2015-02-09] () HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\...\Run: [uTorrent] => "C:\Program Files\uTorrent\uTorrent.exe" /MINIMIZED Startup: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk Task: {1C44BD21-E076-4B4D-B0D5-68BBFAE15C84} - System32\Tasks\TheSettlersOnline WW2 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 Task: {626D5690-68C0-49EA-B2E6-8AD9B518E021} - System32\Tasks\TheSettlersOnline WW1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 Task: {6C5E579E-B95B-4C4F-BFDE-6538CAAA9962} - System32\Tasks\TheSettlersOnline W1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 Task: {979224CD-4AD5-4D9B-A2AB-EE28446158FC} - System32\Tasks\TheSettlersOnline D1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 Task: {B65B314E-E45F-4D1B-8A39-8C4CD64B66E2} - System32\Tasks\TheSettlersOnline W2 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 GroupPolicyUsers\S-1-5-21-3814680480-1097625461-4125634967-1001\User: Group Policy restriction detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\hp\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{41BE5DC3-212A-44A3-8811-4A54E9D2884A}\InprocServer32 -> C:\Users\hp\AppData\LocalLow\uTorrentBar\prxtbuTo2.dll (ClientConnect Ltd.) CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{66E8DCC7-97D2-4A89-8E08-D0610FF0878C}\InprocServer32 -> C:\Users\hp\AppData\Local\Conduit\Community Alerts\Alert.dll No File CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{A97B89CD-B65C-49DD-AF46-2B772C627456}\InprocServer32 -> C:\Users\hp\AppData\LocalLow\uTorrentBar\prxtbuTo2.dll (ClientConnect Ltd.) CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{B6BB720C-25CB-11E0-B4E5-23EBDED72085}\InprocServer32 -> C:\Users\hp\AppData\Local\ASKTOO~1\DOWNLO~1\NEROOE~1.DLL No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru FF HKLM\...\Firefox\Extensions: [KavAntiBanner@Kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru FF HKLM\...\Firefox\Extensions: [linkfilter@kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 catchme; \??\C:\Users\hp\AppData\Local\Temp\catchme.sys [X] U1 eabfiltr; No ImagePath C:\Program Files\Liveistream C:\Program Files\rec_pl_12 C:\ProgramData\{e08b3aa0-5d5a-2bf1-e08b-b3aa05d5ea81} C:\ProgramData\Microsoft\Windows\GameExplorer\{7DE9FF1E-A810-4B8E-B166-A112726E15C4} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super Sterownik C:\Users\hp\AppData\Local\Google\Chrome C:\Users\hp\AppData\Local\rec_pl_12 C:\Users\hp\AppData\Local\Microsoft\Windows\GameExplorer\{DCEDE601-DFD6-4B41-8C8D-7CDDE0479595} C:\Users\hp\AppData\Local\Microsoft\Windows\GameExplorer\{76B9FFEC-BD30-4016-85B6-D6093422F318} C:\Users\hp\AppData\LocalLow\uTorrentBar C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TheSettlersOnline C:\Users\hp\Desktop\AdwCleaner — skrót.lnk C:\Users\hp\Desktop\Liveistream.lnk C:\Users\hp\Desktop\Play Games Online.url C:\Users\hp\Desktop\Super Sterownik Professional Edition.lnk C:\Users\hp\Documents\Bluetooth Exchange Folder\AdwCleaner.exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKU\S-1-5-21-3814680480-1097625461-4125634967-1001_Classes\CLSID /f Reg: reg delete "HKU\S-1-5-21-3814680480-1097625461-4125634967-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-3814680480-1097625461-4125634967-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi uprzednio używanych narzędzi (nie uruchamiaj tych programów ponownie!): C:\ComboFix.txt + pliki z katalogu C:\AdwCleaner.

Brakuje raportów FRST Shortcut oraz GMER. W Firefox jest jawne adware Positive Finds. Próbując rozwiązać problem stosowałeś wątpliwe lub niepotrzebne procedury: - Jest tu zainstalowany program-naciągacz z czarnej listy, czyli SpyHunter. - Są ślady stosowania ComboFix i na ten temat: KLIK. - Nie wiem dlaczego stosowałeś DelFix - to nie jest program do usuwania adware i infekcji, tylko narzędzi dianostycznych. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj przestarzały Spybot - Search & Destroy oraz dziadostwo SpyHunter 4. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1570813146-1399864326-2008803646-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1570813146-1399864326-2008803646-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File Task: {32DD3EEF-F844-44B8-802D-DA1B0C2C8A3B} - System32\Tasks\{922ABFEB-CEDC-4196-A864-4A33553BE7AA} => pcalua.exe -a C:\Users\Karol\Downloads\irfanview_lang_polski.exe -d C:\Users\Karol\Downloads Task: {3EBC219C-466B-42F4-ADAB-47F7054EA25D} - System32\Tasks\{00A9DED0-CEA2-492C-AB19-6D83720D08CE} => pcalua.exe -a C:\Users\Karol\Desktop\instaluj.exe -d C:\Users\Karol\Desktop S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\ProgramData\AVG C:\Users\Karol\AppData\Local\Avg C:\Users\Karol\AppData\Roaming\AVG Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Nic oczywistego tu nie widać. W Google Chrome jest następujące świeżo doinstalowane (jako ostatnie - najnowsza data, po nim już tylko Adblock Plus) rozszerzenie: CHR Extension: (JSON Formatter) - C:\Users\kolorowyguzik\AppData\Local\Google\Chrome\User Data\Default\Extensions\bcjindcccaagfpapjjmafapmmgkkhgoa [2015-02-19] Szukając wg identyfikatora rozszerzenia (bcjindcccaagfpapjjmafapmmgkkhgoa) JSON Formatter jakoby pochodzi z Chrome Web Store, ale tu z kolei ten sam identyfikator jest związany z niepożądanym obiektem, a wewnętrzny link aktualizacji przekierowuje na epicunitscan.info: KLIK. 1. Proponuję sprawdzić wstępnie czy deaktywacja tego rozszerzenia powoduje ustąpienie reklam. Ustawienia > karta Rozszerzenia > wyłącz JSON Formatter > zrestartuj Chrome. Jeśli brak zmian: 2. Zresetuj preferencje. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Jeśli brak zmian: 3. Wykonaj kompleksową reinstalację przelądarki. Wyeksportuj tylko zakładki. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki.