picasso

MBAM wykrył szczątki adware (w tym instalatory je aplikujące) i cracki - wszystko do usunięcia. Zrób jeszcze skan Hitman Pro i przedstaw wyniki.

Czy został wykonany ten punkt: Proszę mi pokazać na obrazkach te miejsca.

Akcje wykonane. Teraz uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Wejdź w Tryb awaryjny Windows (zaloguj się na konto Patrycja a nie wbudowanego Administratora) i ponów próbę.

W związku z tym końcowe poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3115265202-861073304-1815682740-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\dom\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

System zaśmiecony. Jest tu potwornie stara wersja Trend Micro Internet Security (z 2009!) z pewnością nie czyniąca dobrze w systemie, podejrzana usługa Tor (prawdopodobnie "backdoor") oraz liczne odpadki adware. Na dodatek adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i jest niezbędna całkowita reinstalacja od zera. Wstępne działania: 1. Przez Panel sterowania odinstaluj stare wersje, zbędniki i poszkodowane Google: Adobe Flash Player 16 NPAPI (to wersja dla Firefox), Adobe Reader 9.4.4 - Polish, Gadu-Gadu 10, Google Chrome, Java 2 Runtime Environment, SE v1.4.2_03, Java™ 6 Update 26, Mozilla Firefox 12.0 (x86 pl), Mozilla Maintenance Service, Opera 12.10, Trend Micro Internet Security. Przed deinstalacją Chrome wyeksportuj zakładki (i nic więcej). Przy deinstacji zaznacz Usuń także dane przeglądarki. Resztę obiektów Chrome i Mozilla doczyści skrypt w punkcie poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-01] () [File not signed] S2 e81a9dc1; "C:\Windows\system32\rundll32.exe" "c:\progra~2\gs-ena~1\AssistantSvc.dll",service S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [47632 2013-04-29] (Panda Security, S.L.) S3 AmUStor; system32\drivers\AmUStor.SYS [X] S2 eamonm; system32\DRIVERS\eamonm.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath Task: {12CCB40B-4EA4-4F13-B1B0-35CAF7DF8492} - System32\Tasks\GS-Enabler-S-1622525965 => c:\programdata\softwarehouse\gs-enabler\GS-Enabler.exe Task: {13006454-2935-4E0A-81BE-6926E45633E7} - \AdobeFlashPlayerUpdate No Task File Task: {131080F2-0EE4-411A-82F5-03F663BA6025} - \BitGuard No Task File Task: {15FE6C86-6295-4ED7-A40A-AED45A512747} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File Task: {16AB82D6-442F-4249-9315-DF0CB572169F} - System32\Tasks\{792CA22F-5207-45BF-A090-84A149118BDE} => pcalua.exe -a "D:\Damian\fotki\Adobe Photoshop CS2 v9.0 FinaL + KeyGeN & Activator==\Photoshop_CS2_tryout\Photoshop CS2\Setup.exe" -d "D:\Damian\fotki\Adobe Photoshop CS2 v9.0 FinaL + KeyGeN & Activator==\Photoshop_CS2_tryout\Photoshop CS2" Task: {33E4E90C-F0D2-4656-8CEA-90BC795DAC3D} - \DealPly No Task File Task: {34CAB034-9467-4020-99C6-F36E4C92069F} - System32\Tasks\GS.Enabler-S-926685765 => c:\programdata\softwarehouse\gs.enabler\GS.Enabler.exe Task: {37C7F7E6-95AE-4A8E-BD43-A0A1499F0A6E} - \DealPlyUpdate No Task File Task: {4B968CB4-D34B-4287-81D8-8AF203AC1419} - \BonanzaDealsUpdate No Task File Task: {6A160AF0-19D4-4ADB-AA18-514B4C3E41BE} - \Scheduled Update for Ask Toolbar No Task File Task: {7B7E10FA-A4D1-4A08-8644-5CD8140CFCDB} - \AdobeFlashPlayerUpdate 2 No Task File Task: {88560304-D041-41D8-8D87-9B4F28BD5950} - System32\Tasks\{3A077835-5C56-4916-AEF5-611C15D70641} => c:\program files (x86)\opera 11.10 beta\opera.exe [2012-11-16] (Opera Software) Task: {CF69CCBF-B737-4C0C-AAAF-2AA2015642A9} - \EPUpdater No Task File Task: {D3DFA30C-2FF2-4BE9-A0C4-00E6A88316FD} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File Task: {F75FD957-079F-4396-B134-0F38E25310A6} - System32\Tasks\{E80DC9CB-8211-49D7-9E3F-5EE24B5ECC94} => pcalua.exe -a "D:\Róża [DVDRip] [XviD] [PL].avi\DivX Plus Codecs.exe" -d "D:\Róża [DVDRip] [XviD] [PL].avi" Task: C:\Windows\Tasks\GS-Enabler-S-1622525965.job => c:\programdata\softwarehouse\gs-enabler\GS-Enabler.exe Task: C:\Windows\Tasks\GS.Enabler-S-926685765.job => c:\programdata\softwarehouse\gs.enabler\GS.Enabler.exe HKU\S-1-5-21-342266629-1139831834-1673432305-1000\...\CurrentVersion\Windows: [Load] HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Michał&Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SLIC ToolKit V3.2.lnk BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bit GroupPolicy: Group Policy on Chrome detected HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150212 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://google.atcomet.com/b/ HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 - {B2A69A26-654E-4DA3-B024-25FBB670D4CF} URL = http://startsear.ch/?aff=2&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKCU - {523BD156-F9C9-43BC-9C47-7E1342902D7E} URL = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=18cace40000000000000485b391770d9 SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKCU - {B2A69A26-654E-4DA3-B024-25FBB670D4CF} URL = http://startsear.ch/?aff=2&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} BHO-x32: Positive Finds -> {30c85a3d-1d96-4589-b63f-91fb7ef45a41} -> C:\Program Files (x86)\Positive Finds\Extensions\30c85a3d-1d96-4589-b63f-91fb7ef45a41.dll No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\GS.Enabler C:\Program Files (x86)\GS_x64.Enabler C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\My Company Name C:\Program Files (x86)\Opera C:\Program Files (x86)\Tor C:\Program Files (x86)\UNiDeals C:\ProgramData\{d0ddc317-1050-f890-d0dd-dc3171050c5c} C:\ProgramData\1060043881227038852 C:\ProgramData\87b00c80000014ac C:\ProgramData\Mozilla C:\ProgramData\Opera C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Debut Video Capture Software.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Express Burn.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Prism Video File Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoPad Video Editor.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Related Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FBReader for Windows C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trend Micro Internet Security C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\Users\Michał&Damian\AppData\Local\*.html C:\Users\Michał&Damian\AppData\Local\Google\Chrome C:\Users\Michał&Damian\AppData\Local\Mozilla C:\Users\Michał&Damian\AppData\Local\Opera C:\Users\Michał&Damian\AppData\Local\Seven Zip C:\Users\Michał&Damian\AppData\Roaming\mservice32_t.exe C:\Users\Michał&Damian\AppData\Roaming\removeAllComponents.bat C:\Users\Michał&Damian\AppData\Roaming\tibiavplayer.ini C:\Users\Michał&Damian\AppData\Roaming\.ACEStream C:\Users\Michał&Damian\AppData\Roaming\ACEStream C:\Users\Michał&Damian\AppData\Roaming\Asus WebStorage C:\Users\Michał&Damian\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\*.lnk C:\Users\Michał&Damian\AppData\Roaming\Mozilla C:\Users\Michał&Damian\AppData\Roaming\OpenCandy C:\Users\Michał&Damian\AppData\Roaming\Opera C:\Users\Michał&Damian\AppData\Roaming\Security System 2 C:\Users\Michał&Damian\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab PDF Creator C:\Users\Michał&Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\Users\Michał&Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\Users\Michał&Damian\Downloads\*(*)-dp*.exe C:\Users\Michał&Damian\Downloads\SLIC ToolKit V3.2.exe C:\Windows\System32\DRIVERS\PSKMAD.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABBYY.Licensing.FineReader.Professional.11.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BackupStack" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BBSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Mega Browse" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util Mega Browse" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EeeStorageBackup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop_03281748" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Zaimportuj zakładki. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy.

Kolejne poprawki: 1. Konsekwentnie ta część jest omijana - jaki powód? Przecież są nowsze bezpieczniejsze wersje. Ta stara Opera 12.15 ma krytyczną lukę SSL, łata jest w wersji 12.17: KLIK. 2. Otwórz Notatnik i wklej w nim: C:\Program Files\Google C:\Program Files\McAfee.com C:\Program Files (x86)\McAfee.com C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Shopping Suggestion C:\Program Files (x86)\Temp C:\Program Files (x86)\V-9.1HD C:\Program Files (x86)\WinZipper C:\ProgramData\Temp C:\Users\Teresa\AppData\Local\cache C:\Users\Teresa\AppData\Local\MusicPlayer C:\Users\Teresa\AppData\Local\Pay-By-Ads C:\Users\Teresa\AppData\Roaming\DSite Reg: reg delete HKLM\SOFTWARE\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razioe wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowyu log z folderu C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) na następującym ustyawieniu: odznacz opcję Whitelist dla pozycji Internet.

Zupełnie nic nie widać, reklamy jednak występują, więc na 100% jest coś zintegrowane z Chrome. 1. Wyeksportuj z Google Chrome tylko zakładki. Odinstaluj program, przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Zainstaluj najnowszą wersję Google Chrome: KLIK. Podaj czy nadal są problemy z reklamami.

Pozostało jeszcze dużo obiektów adware, m.in. czynne sterowniki. Kolejna porcja działań do wdrożenia: 1. Był uruchamiany GMER, toteż mógł zostać przypadkowo obniżony transfer dysku z DMA do PIO, co objaśniałoby 10 minutowy start. Do wykonania ustęp Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {3cee21b8-f45f-4b81-8601-1f2cae0a9621}t; C:\WINDOWS\System32\drivers\{3cee21b8-f45f-4b81-8601-1f2cae0a9621}t.sys [55832 2015-02-19] (StdLib) R1 {6d550375-e98e-48ce-8260-daa7e461d495}t; C:\WINDOWS\System32\drivers\{6d550375-e98e-48ce-8260-daa7e461d495}t.sys [55824 2014-10-02] (StdLib) R1 {dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}t; C:\WINDOWS\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}t.sys [55832 2015-02-15] (StdLib) R1 {e4a6645a-3f85-4e1f-aa41-8367978844db}t; C:\WINDOWS\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}t.sys [55872 2014-10-16] (StdLib) R1 {e65048d8-bd76-44ed-ac28-c25d339ab590}t; C:\WINDOWS\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}t.sys [55832 2015-02-09] (StdLib) S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S2 MaintainerSvc2.65.3980626; "C:\Documents and Settings\All Users\Dane aplikacji\ee70f246-63a3-464e-a2ed-28bc4d8db631\maintainer.exe" [X] S1 rfqoveiv; \??\C:\WINDOWS\system32\drivers\rfqoveiv.sys [X] S2 Update Browser Good; "C:\Program Files\Browser Good\updateBrowserGood.exe" [X] S2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Patrycja\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\e01f31b0-ec5e-4b84-821b-062247fa9655-5.job => C:\Program Files\HD Cinema Pro 1.8cV16.02\e01f31b0-ec5e-4b84-821b-062247fa9655-5.exe Task: C:\WINDOWS\Tasks\RegClean Prosch.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe HKLM\...\Run: [upfst_pl_207.exe] => C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\fst_pl_207\upfst_pl_207.exe [3303928 2014-09-25] () HKU\S-1-5-21-790525478-861567501-682003330-1004\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" HKU\S-1-5-21-790525478-861567501-682003330-1004\...\Run: [Mobile Partner] => C:\Program Files\Wi-Fi Modem\Wi-Fi Modem AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\docume~1\alluse~1\daneap~1\bitguard\271832~1.68\{c16c1~1\bitguard.dll File Not Found AppInit_DLLs: c:\progra~1\suppor~1\suppor~1.dll => c:\progra~1\suppor~1\suppor~1.dll File Not Found Startup: C:\Documents and Settings\Patrycja\Menu Start\Programy\Autostart\superpc_soft_partner.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424287421&from=brd&uid=HITACHIXHTS542512K9SA00_080407BB0202WBJW33EAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1424287421&from=brd&uid=HITACHIXHTS542512K9SA00_080407BB0202WBJW33EAX&q={searchTerms} HKU\S-1-5-21-790525478-861567501-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418980592&from=wpm12173&uid=HITACHIXHTS542512K9SA00_080407BB0202WBJW33EAX&q={searchTerms} HKU\S-1-5-21-790525478-861567501-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418980592&from=wpm12173&uid=HITACHIXHTS542512K9SA00_080407BB0202WBJW33EAX&q={searchTerms} URLSearchHook: HKLM - Default Value = {FE69C007-C452-4d3e-86D2-1730DF8BC871} URLSearchHook: HKU\S-1-5-21-790525478-861567501-682003330-1004 - Default Value = {FE69C007-C452-4d3e-86D2-1730DF8BC871} BHO: BlockAndSurf -> {08DB7275-1643-E608-A596-F0D5D89AB9A0} -> C:\Program Files\ver4BlockAndSurf\179.dll No File BHO: browseandshop -> {44e61e69-2845-4e6c-b785-88e009eb6a78} -> C:\Documents and Settings\All Users\Dane aplikacji\browseandshop\Znrq1pVpJDoDIi.dll No File Toolbar: HKU\S-1-5-21-790525478-861567501-682003330-1004 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi C:\Documents and Settings\All Users\Dane aplikacji\{649bc223-64bd-806a-649b-bc22364b088d} C:\Documents and Settings\All Users\Dane aplikacji\17484233891940776556 C:\Documents and Settings\All Users\Dane aplikacji\2b87154c00004f54 C:\Documents and Settings\All Users\Dane aplikacji\couponcheapchea C:\Documents and Settings\Patrycja\Dane aplikacji\istartsurf C:\Documents and Settings\Patrycja\Dane aplikacji\WinZipper C:\Documents and Settings\Patrycja\Moje dokumenty\*(*)-dp*.exe C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\nsx45.tmp C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\fst_pl_207 C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Google C:\Program Files\WinZipper C:\WINDOWS\System32\drivers\{3cee21b8-f45f-4b81-8601-1f2cae0a9621}t.sys C:\WINDOWS\System32\drivers\{6d550375-e98e-48ce-8260-daa7e461d495}t.sys C:\WINDOWS\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}t.sys C:\WINDOWS\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}t.sys C:\WINDOWS\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}t.sys C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj na czym stoimy - które objawy ustąpiły.

Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64; C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys [48776 2014-11-23] (StdLib) R1 {150ca330-afd5-4527-99bc-b3ce918cea60}Gw64; C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys [48784 2014-11-26] (StdLib) R1 {2fb2b93a-d824-4963-962b-e98da201096d}Gw64; C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys [48784 2014-11-26] (StdLib) R1 {748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64; C:\Windows\System32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64.sys [48784 2014-11-26] (StdLib) R1 {d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64; C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys [48784 2014-11-28] (StdLib) R1 {e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64; C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys [48784 2014-12-01] (StdLib) R1 {efe93952-e041-4e49-a1cc-461436cf69d0}Gw64; C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys [48776 2014-11-23] (StdLib) S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe HKLM-x32\...\Run: [LManager] => [X] HKU\S-1-5-21-730475293-231205452-1474613943-1005\...\Run: [Akamai NetSession Interface] => "C:\Users\Grzegorz\AppData\Local\Akamai\netsession_win.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b" CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b" CHR DefaultNewTabURL: Default -> http://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKU\S-1-5-21-730475293-231205452-1474613943-1005\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> {193DCD88-88AA-484E-9293-6F5E0901F68F} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=432 SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> {F454C8FA-B4D2-43A0-BE74-37D7C3DAAA68} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=D47D5712-DF7A-4027-A0C1-BF20CB5E4010&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\Users\Grzegorz\WRInstallerEU.exe C:\Users\Grzegorz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Pay-By-Ads C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys C:\Windows\System32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64.sys C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Są tu aż trzy konta: ==================== Accounts: ============================= Grzegorz (S-1-5-21-730475293-231205452-1474613943-1005 - Administrator - Enabled) => C:\Users\Grzegorz Krzysztof (S-1-5-21-730475293-231205452-1474613943-1002 - Administrator - Enabled) => C:\Users\Krzysztof Przemek (S-1-5-21-730475293-231205452-1474613943-1004 - Limited - Enabled) => C:\Users\Przemek Dotychczas były sprawdzane raporty tylko z konta Grzegorz. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie Wyloguj czy Przełącz) i zrób nowy log FRST z opcji Scan. Na Grzegorzu bez Addition i Shortcut. Na reszcie z Addition, lecz bez Shortcut. Dołącz też plik fixlog.txt.

Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Zrób pełny skan Malwarebytes Anti-Malware (przy instalacji odznacz trial).Jeśli coś zostanie wykryte, dostarcz raport.

Skoro system nagle się uruchomił, to dostarcz raporty FRST zrobione spod Windows: KLIK. Te trzy pliki (FRST.txt, Addition.txt i Shortcut.txt) mają być podane jako załączniki a nie wklejane w poście.

Oba tematy sklejam - to samo adware ponownie nabyte poprzez korzystanie z "downloaderów" portalowych: KLIK. Różnica jest taka, że poprzednio WindowsMangerProtect był protektorem przekierowań isearch.omiga-plus.com, a teraz key-find.com. Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-08] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hp&ts=1423430082&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662" FF user.js: detected! => C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\user.js FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\extensions\fftoolbar2014@etech.com AlternateDataStreams: C:\Windows:F1E86939425427D5 C:\ProgramData\WindowsMangerProtect EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Uruchom ponownie AdwCleaner, lecz tym razem wybierz opcje Szukaj + Usuń. Gdy czyszczenie się ukończy: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Masa\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Masa\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Masa\Desktop\6uzz6s53.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Temat monitora został przeniesiony do działu Hardware i masz do uzupełnienia dane sprzętowe: KLIK. To nie jest moja specjalizacja. Jeśli ktoś inny będzie miał pomysł, to tam odpowie. Wracając do tutejszego problemu adware, to jest tu o wiele więcej śmieci i problemów tego rodzaju. Wstępnie: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: Ask Toolbar, File Association Manager, UpdateChecker. Jeśli któraś pozycja będzie niewidoczna, uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście dany wpis > Dalej. - Stare wersje i zbędniki: Adobe Reader 6.0.1, Adobe Shockwave Player 12.0. Ten Reader to strasznie dziurawa niebezpieczna wersja! 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X] S2 Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S2 Update Deal Keeper; "C:\Program Files\Deal Keeper\updateDealKeeper.exe" [X] S2 Update Greener Web; "C:\Program Files\Greener Web\updateGreenerWeb.exe" [X] S2 Util Deal Keeper; "C:\Program Files\Deal Keeper\bin\utilDealKeeper.exe" [X] S2 Util Greener Web; "C:\Program Files\Greener Web\bin\utilGreenerWeb.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 mcdbus; system32\DRIVERS\mcdbus.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] Task: {02AB8756-DDB8-4945-AD31-367AEEA93B33} - System32\Tasks\{38D6A2A3-477B-4284-ADDE-E7D9131CA17F} => pcalua.exe -a L:\EASetup.exe -d L:\ Task: {14107CB2-68DD-46F5-9990-455870A2F57E} - System32\Tasks\{FCCEB828-4962-4A35-A312-61771EF7248F} => D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica\Barbie™ pamietniki - Szkolna tajemnica\bin\game.exe Task: {1E01B910-D94A-4625-8467-6BCFAC56A8F9} - System32\Tasks\YourFileDownloader Installer Starter => C:\Users\UKASZ~1\AppData\Local\Temp\YourFileDownloaderYXePrKk2vY.exe Task: {4198F49A-32FC-463A-905C-32BC31185A03} - System32\Tasks\{8CDF044C-2F72-4B93-B942-325D3E769E17} => pcalua.exe -a E:\INSTALKI\napiprojekt1.0.6.2_(www.programs.pl).exe -d E:\INSTALKI Task: {4D9A4CEF-49C3-4618-8129-891A4F91A0E7} - System32\Tasks\{D85B24FF-EFED-487D-B162-30019861385F} => D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica\Barbie™ pamietniki - Szkolna tajemnica\bin\game.exe Task: {68A48222-B869-4AFE-8AD5-D5E01596AE76} - System32\Tasks\{3AE14ACE-6C29-4203-9070-C64AF4C3E051} => pcalua.exe -a C:\Users\Łukasz\Downloads\SweetIMSetup.exe -d C:\Users\Łukasz\Downloads Task: {72989AB1-6AB4-4514-A48E-B74A880EFE4A} - System32\Tasks\{A07877CF-48F7-42CD-B090-0D089C787A17} => pcalua.exe -a L:\DirectX\DXSETUP.exe -d L:\DirectX Task: {8B4E50A9-6D5B-446C-8F44-0A13DFEF8810} - System32\Tasks\{7E084364-49B9-4990-9205-0FBFFB0DDFAF} => pcalua.exe -a "C:\Program Files\sweetpacks bundle uninstaller\uninstaller.exe" -c "/appName=SweetIM Bundle by SweetPacks" Task: {A62B2E86-7667-4B89-B608-3C6CC2BF9231} - System32\Tasks\{44E64E34-1A4E-46F0-A046-6F4F0BF727E8} => pcalua.exe -a "L:\Support\Medal of Honor Airborne_code.exe" -d L:\Support Task: {A6EEC4BC-756B-4051-B24E-DE3052F9AE69} - System32\Tasks\{0F884208-93D5-41AB-B93D-4066CA60A93E} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{E8AEA11B-E60A-455E-B008-E4E763604612}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {A7CE328B-09FA-4C63-AF5C-C023BF1F5B48} - System32\Tasks\{AF775F00-BF1F-4D15-8D7E-61675DA96870} => pcalua.exe -a K:\Fairlight\Installer.exe -d K:\Fairlight Task: {B383F663-2633-4D93-89F2-A2A1B661DB3E} - System32\Tasks\{CA75FFF7-0F10-40FD-83CC-3847566821BC} => pcalua.exe -a "C:\Program Files\ivo\Ivona_Demo-1.0\UsunIvonaDemoBeta.exe" Task: {B4ED14AC-916A-48C2-AA5D-4D58D5234BBB} - System32\Tasks\{B682EC5E-B853-4094-B0D7-FFF247E716D0} => pcalua.exe -a "D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica\unins000.exe" Task: {C465E5DF-C812-4F8A-8C70-76A90E77CD00} - System32\Tasks\{F9333E56-50AD-4BDC-97BB-12F06E5DAEE7} => pcalua.exe -a "D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica\unins000.exe" -d "D:\Gry\Nowy folder\Barbie™ pamietniki - Szkolna tajemnica" HKLM\...\Run: [ApnUpdater] => "C:\Program Files\Ask.com\Updater\Updater.exe" HKLM\...\Run: [] => [X] HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [Hoolapp Android] => C:\Users\Łukasz\AppData\Roaming\HoolappForAndroid\hoolapp.exe [0 2015-02-16] () HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [ChomikBox] => C:\Program Files\ChomikBox\chomikbox.exe HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [updateChecker] => C:\Program Files\SqueakyChocolate\UpdateChecker\UpdateCheckerApp.exe [7168 2013-08-25] (SqueakyChocolate, LLC) HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [Overwolf] => C:\Program Files\Overwolf\Overwolf.exe -silent HKU\S-1-5-21-3215043942-3594844569-900473125-1000\...\Run: [EpicScale] => [X] CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> D:\Gry\Nowy folder (3)\npuplaypc.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1424273314&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742 HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-3215043942-3594844569-900473125-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1424273314&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} URLSearchHook: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll No File SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1424273368&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {48860B13-5AD1-4154-B4EC-E2336D125D45} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {BB66CC2C-C777-412B-BA89-AB22B19CF40E} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> {F2C54EB2-4410-4410-BA00-0B63335D73CE} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742&ts=1424273410&type=default&q={searchTerms} BHO: IVONA Reader -> {8664889D-ED18-4713-918F-E2BB69D8452B} -> No File BHO: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File Toolbar: HKLM - IVONA Reader - {8664889D-ED18-4713-918F-E2BB69D8452B} - No File Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1424273314&from=amt&uid=SAMSUNGXHD502HI_S1VZJ90S232742 FF Plugin HKU\S-1-5-21-3215043942-3594844569-900473125-1000: ubisoft.com/uplaypc -> D:\Gry\Nowy folder (3)\npuplaypc.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xm FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml C:\Program Files\Ashampoo C:\Program Files\dumps C:\Program Files\predm C:\Program Files\XTab C:\ProgramData\APN C:\ProgramData\EpicScale C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\File Association Manager C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MailShare\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MailShare\Usuń.lnk C:\Users\Łukasz\AppData\Local\APN C:\Users\Łukasz\AppData\Local\Google C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{D5ACB578-5420-4C19-B1F6-C7FF86479E0D} C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{7D474929-7F71-4B0A-B604-071CAE46C3D6} C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{70151653-A806-4B60-9857-56146A39F8B2} C:\Users\Łukasz\AppData\Local\Microsoft\Windows\GameExplorer\{019D8652-C8EB-4C48-AC36-B89C41D92B18} C:\Users\Łukasz\AppData\Roaming\00000000-1424277125-0000-0000-001FD0DFE546 C:\Users\Łukasz\AppData\Roaming\HoolappForAndroid C:\Users\Łukasz\AppData\Roaming\OpenCandy C:\Users\Łukasz\AppData\Roaming\Security Systems C:\Users\Łukasz\AppData\Roaming\Solvusoft C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\SendTo\IVONA Reader.lnk C:\Users\Łukasz\Desktop\hs_err_pid13848.log C:\Users\Public\Desktop\Your Software Deals.url C:\Windows\system32\temp.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla\Seamonkey /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi (Shortcut już mi nie jest potrzebny). Dołącz też plik fixlog.txt.

Ostatnie akcje wykonane. Na koniec: Skasuj używane narzędzia z D:\czyszczenie. Popraw za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Brakuje nowego skanu:

Skoro system się nie uruchamia, podaj raport z FRST zrobiony z poziomu środowiska zewnętrznego RE: KLIK.

Czy są jeszcze jakieś problemy? Wszystko pomyślnie przetworzone. Jeszcze drobnostki: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > sprawdź ile jest pozycji Google na liście - ustaw jako domyślną wyszukiwarkę Google inną niż obecna skierowana na hxxps://www.google.pl/search?q={searchTerms}?trackid=sp-006 2. Uruchom AdwCleaner ponownie, wybierz tylko opcję Szukaj i dostarcz nowy log C:\AdwCleaner\AdwCleanerR1.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) na następującym ustawieniu: odznacz Whitelist dla pozycji Internet.

Blokada zapory i Windows Update wynika raczej z czego innego: działa tu Avast na spółkę z nieudolnie odinstalowanym starym McAfee (on działa w tle, mimo że nie ma wejścia na liście zainstalowanych). To jest pakiet IS - aktywna jest zapora McAfee, co oznacza automatyczną deaktywację Zapory Windows. Owszem, są też szczątki adware, ale to poboczna sprawa i nie ma żadnego wpływu na niemoc komponentów Windows. Widzę, też że używałeś (do wyrzucenia): - FixZeroAccess: to stare narzędzie, usuwa wariant, który jest wymarły. Jest multum przyczyn dla których nie działa Zapora czy Windows Update, infekcja ZeroAccess to tylko jedna z tysiąca przyczyn. - HijackThis: to program przestarzały i 32-bitowy, zupełnie się nie nadaje na Windows 64-bit (pokazuje fałszywe wyniki "file missing", gdyż nie widzi natywnie 64-bitowej części). Wstępnie: 1. Wejdź w Tryb awaryjny Windows. Zastosuj McAfee Consumer Product Removal Tool. Widzę, że on już jest pobrany i chyba używany, ale prawdopodobnie robiłeś to z poziomu Trybu normalnego Windows (czynne sterowniki McAfee mogą zablokować zrobienie im krzywdy). 2. Opuść Tryb awaryjny. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00FEC37E-2E01-4F2E-B6A5-7249387A81B4} - \globalUpdateUpdateTaskMachineCore No Task File Task: {03E86E98-2BA6-42B7-A13E-39910686AD65} - System32\Tasks\{1CF293E6-69FC-46D8-AAA4-CE0E08A6B3BF} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {043EDB0B-88E0-4408-A7F7-190B8AFB4A5A} - System32\Tasks\{BCA34CCE-5E94-4811-B0A9-7928BB613B82} => pcalua.exe -a C:\Users\mateusz\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\mateusz\Downloads Task: {055662D5-A6A8-4865-8944-4372D0A9A1EC} - \241088c9-696a-4418-bda9-b3b4bab05fe5-6 No Task File Task: {09C5D82D-F120-49A0-8BC2-031DE0A8CBE0} - System32\Tasks\{8B3C4B1B-17D2-4F33-ADF4-681C21CA6806} => pcalua.exe -a C:\Users\mateusz\AppData\Local\Temp\Low\{5B87788F-2F05-4420-AC80-2FE12D6E08A7}\adobeshockwavextrabundle.exe -d C:\Users\mateusz\Desktop -c /xtrabundle=BC_Shockwave_3D_Asset Task: {0C8D7EEC-654B-4F4A-897C-A2801C2D20E6} - \globalUpdateUpdateTaskMachineUA No Task File Task: {0E55065D-7B9B-476F-B764-ED7D798524C1} - System32\Tasks\{822088F6-7A6D-4728-9960-C1D45A0144CE} => pcalua.exe -a "C:\Program Files (x86)\G Data\InternetSecurity\GUI\GDSC.exe" -d C:\Users\mateusz\Desktop Task: {0FFA6EC1-3C0D-4B6F-AA54-8863AADAD76D} - \BlockAndSurf Update No Task File Task: {107F7900-B507-4FCF-A8E3-7FC654FC43C0} - \SaveSenseLiveUpdateTaskMachineUA No Task File Task: {110567EE-B756-4756-8180-D63567E1E9EC} - System32\Tasks\{AFC10F2E-499C-41DF-AB28-A299152CC148} => pcalua.exe -a E:\Install.exe -d E:\ Task: {128C077C-7678-47EE-96CA-ACF37E3319AD} - \241088c9-696a-4418-bda9-b3b4bab05fe5-7 No Task File Task: {1E356FD0-747E-482A-98F5-48C1F04AEB69} - \SaveSense No Task File Task: {23E2E1D2-CAA2-429B-991B-A5961BD620D6} - \BitGuard No Task File Task: {3AC4BCFF-79CE-4FBC-A49F-BB464AC3EA84} - \241088c9-696a-4418-bda9-b3b4bab05fe5-4 No Task File Task: {3CF73285-6B96-4AF9-91D8-5046085EEE27} - System32\Tasks\{4B5C51CB-56F8-4261-8DFC-A75F60FEB17C} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {3D1A434F-2713-4244-AD9C-B9242541F7D0} - \BlockAndSurf_wd No Task File Task: {4BF5E155-582D-43EE-AB62-950E381C91CE} - \241088c9-696a-4418-bda9-b3b4bab05fe5-1 No Task File Task: {518EE03F-A36E-4211-A6EB-C1EA83DAA9A9} - System32\Tasks\{CC53FC14-8864-45A4-95FE-7E0AC82BD696} => pcalua.exe -a C:\Users\mateusz\AppData\Roaming\awesomehp\UninstallManager.exe Task: {52245D7D-7F8B-4C26-93DB-EE242F78F872} - \AmiUpdXp No Task File Task: {55A22B93-FC75-4D72-A971-9067DC6DA2CD} - System32\Tasks\{591EB96F-08F2-4D62-AE1E-470AFB8C62BD} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {5C571624-B7B9-48F6-9ACE-5365BFA04590} - System32\Tasks\{4254C72F-578D-4F99-9194-33F3ED423B3B} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {6D20318F-CA03-4D57-9D8E-547051584711} - System32\Tasks\{CEDB865C-C777-49E8-B41C-83B12C0941AC} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {707028F2-4AA0-4AC7-98E0-ED14BF12BE51} - \SaveSenseLiveUpdateTaskMachineCore No Task File Task: {71A66698-D02D-496B-A701-7712890272E9} - System32\Tasks\{4142C8E7-7E1E-4AAE-9FAE-EDD32E84AF25} => pcalua.exe -a C:\Users\mateusz\AppData\Local\Temp\Low\{B442FEDE-914F-4090-8E2C-98DFF30D18DD}\adobeshockwavextrabundle.exe -d C:\Users\mateusz\Desktop -c /xtrabundle=BC_SwaStrm Task: {766FDA0C-7208-4EEF-B19D-92A33E7DC769} - System32\Tasks\{8F56A9DC-B252-4121-AD03-D8E682286DBE} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {7A9BB502-5BEB-45A9-93AE-D799BF69AE78} - System32\Tasks\RMSchedule => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: {8535685E-E8C4-4792-A6AB-D7BF888AAF39} - System32\Tasks\Norton Security Scan for mateusz => C:\PROGRA~2\NORTON~2\Engine\361~1.11\Nss.exe Task: {8B083170-873B-45BE-9D58-F8C30C4046C4} - \RegClean Pro_DEFAULT No Task File Task: {8ED3A920-5BEC-4C2F-8573-B08CB20DF9B7} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {97B9BE3D-D4B8-4BBA-9FE6-F96C50AB31AA} - \241088c9-696a-4418-bda9-b3b4bab05fe5-5 No Task File Task: {996734FE-039D-4F6F-A7F1-20ADF4AA58F9} - System32\Tasks\APSnotifierCA => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {A3CDB19D-19B3-4228-A90F-AF6DDBE7A5BD} - \241088c9-696a-4418-bda9-b3b4bab05fe5-3 No Task File Task: {AD62135A-BA21-47C2-A106-AC5429F3EA97} - \241088c9-696a-4418-bda9-b3b4bab05fe5-2 No Task File Task: {C0D4B0D0-E048-4BB7-AC19-9E4C6DAA2151} - System32\Tasks\{2B68B673-39CC-4C4E-8D3B-027ACFE00093} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {C53BBE77-EA74-4DC5-8A89-F0C8622AFA8B} - System32\Tasks\{54461FC2-3FD1-4FE3-A818-5FE76EE01CF0} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {CACFBDBA-3D14-49DE-94B7-B031762BABE7} - System32\Tasks\{FE7977C2-BEBB-4374-81F6-6E5AF4B00642} => pcalua.exe -a c:\PROGRA~2\COMMON~1\ADOBEA~1\Versions\1.0\ADOBEA~1.EXE -d C:\Users\mateusz\Downloads -c "C:\Users\mateusz\Downloads\ifscl248c (1).air" Task: {D2EE992F-CFC4-45CC-8EF9-4D9C7A198408} - System32\Tasks\{99FFE0C2-F982-49B9-9B01-3B882636BA5C} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {E3D87B30-8150-4524-895C-C15018F4D9AB} - System32\Tasks\{AD963E2D-CA51-4956-9C3D-F78C2D3B9E52} => C:\Program Files (x86)\Ares\Ares.exe [2010-10-27] (Ares Development Group) Task: {E5BAE136-44C5-4ADE-9537-7DB826EDC00A} - System32\Tasks\{6C57434D-05B1-4989-8342-5BDDD20CA535} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c C:\Gratka\ZG_Demo\start.exe Task: {E6C1F2E6-B766-4CF3-B715-BABB51A183C1} - System32\Tasks\RMAutoUpdate => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: {EE1BD01F-7F5D-49E2-9A63-D5602D85F6A3} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles Updater\GFFUpdater.exe Task: {FE754B3A-6ED4-4B17-9454-01EF20FA5FEC} - System32\Tasks\{0EF0D1B2-EF93-4AF1-A0B6-DF1FD2C12CBB} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c C:\Bakoma\bakoma.exe Task: C:\Windows\Tasks\McAfee Cleanup.job => C:\Users\mateusz\AppData\Local\Temp\MCPR\mccleanup.exe Task: C:\Windows\Tasks\RMAutoUpdate.job => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: C:\Windows\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe S4 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [793048 2012-03-21] (PC Tools) S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM-x32\...\Run: [sSDMonitor] => C:\Program Files (x86)\Common Files\PC Tools\sMonitor\SSDMonitor.exe [103896 2012-03-21] (PC Tools) HKU\S-1-5-21-2026956122-931518800-205582366-1000\...\MountPoints2: K - K:\LaunchU3.exe -a GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} Toolbar: HKU\S-1-5-21-2026956122-931518800-205582366-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HomePage: Default -> https://www.google.pl/webhp?sourceid=chrome-instant&rlz=1C1ASAC_enPL471&ion=1&espv=2&ie=UTF-8 CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_f61be305-461b-4149-9745-e874f3166cfe" CHR DefaultNewTabURL: Default -> http://search.yahoo.com/?fr=hp-ddc-bd-tab&type=616_pr__alt__ddc_dsssyctab_bd_com CHR HKLM-x32\...\Chrome\Extension: [dmalcdljnnlplhfoanpjmkinnjjilmof] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha7515\ch\MediaViewV1alpha7515.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pacjkhgobllpadpndpolldjgoibibjkk] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha3654\ch\TrustMediaViewerV1alpha3654.crx [Not Found] FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL No File FF Plugin-x32: @mcafee.com/MSC,version=10 -> c:\progra~2\mcafee\msc\npmcsn~1.dll () FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver" C:\Program Files (x86)\Common Files\PC Tools C:\Program Files (x86)\EgisTec C:\Program Files (x86)\EgisTec Egis Software Update C:\Program Files (x86)\G Data C:\Program Files (x86)\PC Tools Registry Mechanic C:\ProgramData\89c775be-12de-4e15-846c-6b3e6a8c39a2 C:\ProgramData\G DATA C:\ProgramData\Malwarebytes C:\ProgramData\Norton C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Flash Movie Player C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka C:\Users\mateusz\AppData\Local\*.tmp C:\Users\mateusz\AppData\Local\{*} C:\Users\mateusz\AppData\Local\11894 C:\Users\mateusz\AppData\Local\22211 C:\Users\mateusz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\mateusz\AppData\Local\MyWinLockerInstaller.txt-20150218.log C:\Users\mateusz\AppData\Roaming\Dropbox C:\Users\mateusz\Desktop\Złoty Gryziwąs (Demo).lnk C:\Users\Public\Desktop\Norton Online Backup.lnk C:\Users\Public\Desktop\PC Tools Registry Mechanic.lnk C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BlockAndSurf" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_128" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_149" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\G Data AntiVirus Tray Application" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GDFirewallTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Yahoo kierujące na adres rts.dsrlte.com oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy występują po w/w czyszczeniu.

Działania poprawkowe: 1. W międzyczasie zainstalowałeś kolejne śmieci. Odinstaluj FLVPlayer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 Security Updates Service; C:\Program Files (x86)\Security Updates Service\winupdsvc.exe [861696 2014-09-05] () [File not signed] R2 serversu; C:\Users\tony\AppData\Roaming\SoftwareUpdater\SUsrv.exe [217088 2015-02-11] () [File not signed] S1 wpnfd_1_10_0_9; system32\drivers\wpnfd_1_10_0_9.sys [X] Task: {09D8972F-7ECD-46D6-B8D4-9FD2F5BD1BED} - System32\Tasks\Taplika => C:\Users\tony\AppData\Roaming\Taplika\UpdateProc\UpdateTask.exe [2015-02-18] () Task: {126F1177-1362-448B-B188-2891BCAE973B} - System32\Tasks\ProPCCleaner_Start => C:\Program Files (x86)\Pro PC Cleaner\ProPCCleaner.exe Task: {1427930C-DC9B-4624-9054-83BC0434FF76} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {2A3DC940-B5B2-4328-8DF8-9B70F8D26CD6} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {4861A125-A5A9-4EAE-ABBB-322B1F59037C} - System32\Tasks\{A478F646-3406-4B08-BC83-F093C00B91CA} => pcalua.exe -a "C:\Program Files (x86)\Wajam\uninstall.exe" Task: {612D53EF-F46C-43F3-B2B3-8C8BD2436EC3} - System32\Tasks\PostPoneInstall => C:\Users\tony\AppData\Local\Temp\ce98ac2e-20c0-4a93-86f6-bdb3e61caf55.exe Task: {AF738624-1BCE-43E9-9D16-406D740C2492} - System32\Tasks\{45B98C63-7830-4D65-ACF9-6C63439458C0} => pcalua.exe -a "C:\Program Files (x86)\WildGames\Uninstall.exe" Task: {C94C9AD5-F816-42A7-91ED-3271E641D2FC} - System32\Tasks\Run_Bobby_Browser => C:\Users\tony\AppData\Local\BoBrowser\Application\bobrowser.exe Task: {D8564587-09DC-4B5A-8624-FE64DF7C0866} - System32\Tasks\{E5BFA09E-B581-4BF7-8FE7-E08FF47CB22C} => pcalua.exe -a C:\Users\tony\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Taplika.job => C:\Users\tony\AppData\Roaming\Taplika\UPDATE~1\UPDATE~1.EXE Startup: C:\Users\tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OPTISetup.lnk Startup: C:\Users\tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk HKLM\...\Run: [3D BubbleSound] => "C:\Program Files\BubbleSound\3D BubbleSound.exe" HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [gmsd_gb_130] => [X] HKLM-x32\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\tony\AppData\Roaming\Taplika\UpdateProc\bkup.dat" HKLM-x32\...\RunOnce: [spUninstallCleanUp] => REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\tony\AppData\Roaming\Taplika\UpdateProc\bkup.dat" HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\...\MountPoints2: {40f1f7c9-b226-11e4-beb7-b888e3cfe887} - "F:\setup.exe" CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:53182;https=127.0.0.1:53182 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKLM -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = http://www.default-search.net/search?sid=498&aid=159&itype=n&ver=15446&tm=622&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = http://www.default-search.net/search?sid=498&aid=159&itype=n&ver=15446&tm=622&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3329908&octid=EB_ORIGINAL_CTID&ISID=MC2E4D316-0118-4242-81E8-F43485229BCF&SearchSource=58&CUI=&UM=2&UP=SP7432F7A1-4CC6-41B8-BEC3-A0F57B00F89E&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3329908&octid=EB_ORIGINAL_CTID&ISID=MC2E4D316-0118-4242-81E8-F43485229BCF&SearchSource=58&CUI=&UM=2&UP=SP7432F7A1-4CC6-41B8-BEC3-A0F57B00F89E&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {2DF96447-06FF-45B9-80C0-DD3762EFDB26} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_idaddy2_15_08&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtA0C0F0EzzzzyByByEtD0FtN0D0Tzu0StCtCyEyEtN1L2XzutAtFyBtFtBtFtDtN1L1Czu2Z1E1I1V1L1Q1T1Q1Q2UtBtN1L1G1B1V1N2Y1L1Qzu2SyBtBtDyByC0E0EyDtGyByDtD0FtG0EyCtDyEtGtB0D0C0BtGtB0CtCyD0ByDtD0CtAyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0DtCyCyE0AtBtB0BtG0ByCzz0AtGyEyE0EtAtGzz0F0DtCtGtCtAtDzytD0FtBtBtC0E0DyD2Q&cr=471974407&ir= SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2498} URL = http://www.default-search.net/search?sid=498&aid=159&itype=n&ver=15446&tm=622&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {DE6732B4-C9B3-4E16-BB71-2283ED5D25C5} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T&ts=1423694765&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4030865254-2996239518-2335188200-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR StartupUrls: Default -> "hxxp://google.pl/", "hxxp://www.mystartsearch.com/?type=hppp&ts=1423694734&from=smt&uid=TOSHIBAXMQ01ABD050_92C3C1I5TXX92C3C1I5T" CHR DefaultSearchKeyword: Default -> mystartsearch CHR HKLM\...\Chrome\Extension: [lfkjojacgdjkninepeghaamnapdjmlfn] - No Path CHR HKU\S-1-5-21-4030865254-2996239518-2335188200-1001\...\Chrome\Extension: [lfkjojacgdjkninepeghaamnapdjmlfn] - No Path CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-16] CHR HKLM-x32\...\Chrome\Extension: [iomphmdalfmaifjccmagmllnicjoghhk] - No Path CHR HKLM-x32\...\Chrome\Extension: [lfkjojacgdjkninepeghaamnapdjmlfn] - No Path HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\error.txt C:\prefs.js C:\Program Files\BubbleSound C:\Program Files (x86)\FLVPlayer C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\HomeTab C:\Program Files (x86)\predm C:\Program Files (x86)\Pro PC Cleaner C:\Program Files (x86)\Reverse Page C:\Program Files (x86)\SearchProtect C:\Program Files (x86)\Security Updates Service C:\Program Files (x86)\Setup Support for SearchProtect C:\Program Files (x86)\ver1BlockAndSurf C:\Program Files (x86)\Wajam C:\Program Files (x86)\XTab C:\ProgramData\cryptoDrvUpdate.exe C:\ProgramData\{b7dcd416-2d7c-bcf7-b7dc-cd4162d75058} C:\ProgramData\{dd389746-f1b7-0d61-dd38-89746f1b5d1b} C:\ProgramData\8da1b290000036d6 C:\ProgramData\APN C:\ProgramData\Apple C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 C:\Users\tony\AppData\Local\824078 C:\Users\tony\AppData\Local\BoBrowser C:\Users\tony\AppData\Local\globalUpdate C:\Users\tony\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\tony\AppData\Local\Google\Chrome\User Data\Default\Extensions\iomphmdalfmaifjccmagmllnicjoghhk C:\Users\tony\AppData\Local\Google\Chrome\User Data\Default\Extensions\mppnoffgpafgpgbaigljliadgbnhljfl C:\Users\tony\AppData\Local\Pro_PC_Cleaner C:\Users\tony\AppData\Roaming\*.log C:\Users\tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLVPlayer C:\Users\tony\AppData\Roaming\mystartsearch C:\Users\tony\AppData\Roaming\Nosibay C:\Users\tony\AppData\Roaming\SoftwareUpdater C:\Users\tony\AppData\Roaming\Store C:\Users\tony\AppData\Roaming\Taplika C:\Users\tony\AppData\Roaming\WTools C:\Users\tony\Desktop\FLVPlayer-Chrome.exe C:\Users\tony\Documents\Optimizer Pro C:\Users\tony\Documents\ProPCCleaner C:\Windows\msdownld.tmp C:\Windows\SysWOW64\${LOGFILE} Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v iTunesHelper /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v KiesTrayAgent /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware i sponsorów: ArcadeYum, Avast SafePrice, CrushArcade, iLivid i co tam jeszcze widzisz podejrzanego. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz raporty z folderu C:\AdwCleaner (był używany, nie uruchamiaj ponownie, chodzi o poprzednie wyniki).

Te rozszerzenia były w Google Chrome i usuwałam ich foldery. Usuwanie folderu za pomocą FRST nie czyści preferencji Chrome i nazwy rozszerzeń pozostają na liście rozszerzeń. Skoro tego nie widzisz, albo to były szczątki, albo Chrome zrobiło "autoreset". Poza tą niespójnością, wszystko wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: URLSearchHook: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No File BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File C:\Program Files (x86)\Comodo C:\Program Files (x86)\DealPly C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\OpenOffice.org 3 C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\AVG C:\ProgramData\Babylon C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\log C:\ProgramData\OpenFM C:\ProgramData\Partner C:\ProgramData\Sun C:\Users\ALEKSANDRA\AppData\Local\AVG C:\Users\ALEKSANDRA\AppData\Local\cache C:\Users\ALEKSANDRA\AppData\Local\Comodo C:\Users\ALEKSANDRA\AppData\Local\CrashRpt C:\Users\ALEKSANDRA\AppData\Local\Genesis_08300402 C:\Users\ALEKSANDRA\AppData\Local\genienext C:\Users\ALEKSANDRA\AppData\Local\globalUpdate C:\Users\ALEKSANDRA\AppData\Local\Mobogenie C:\Users\ALEKSANDRA\AppData\Local\Pay-By-Ads C:\Users\ALEKSANDRA\AppData\LocalLow\DataMngr C:\Users\ALEKSANDRA\AppData\LocalLow\Oracle C:\Users\ALEKSANDRA\AppData\LocalLow\Sun C:\Users\ALEKSANDRA\AppData\Roaming\AVG C:\Users\ALEKSANDRA\AppData\Roaming\Babylon C:\Users\ALEKSANDRA\AppData\Roaming\Browser Tab Search by Ask C:\Users\ALEKSANDRA\AppData\Roaming\BRT C:\Users\ALEKSANDRA\AppData\Roaming\DealPly C:\Users\ALEKSANDRA\AppData\Roaming\Gadu-Gadu 10 C:\Users\ALEKSANDRA\AppData\Roaming\newnext.me C:\Users\ALEKSANDRA\AppData\Roaming\ol C:\Users\ALEKSANDRA\AppData\Roaming\OpenCandy C:\Users\ALEKSANDRA\AppData\Roaming\OpenFM C:\Users\ALEKSANDRA\AppData\Roaming\OpenOffice.org C:\Users\ALEKSANDRA\AppData\Roaming\RHEng C:\Users\ALEKSANDRA\AppData\Roaming\rmi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Temat założony w złym dziale. Przenoszę do działu diagnostyki infekcji. Zestaw logów FRST niekompletny - brak trzeciego obowiązkowego raportu FRST Shortcut. Co to za "fixlist" - to Ty go sam robiłeś? Jeśli tak, to należy podać wynikowy plik C:\FRST\Logs\Fixlog_data_czas.txt. W podanych raportach brak jakichkolwiek oznak adware/infekcji - czy problemy na pewno nadal występują?

"Bump" usuwam. Odpowiedź się pojawia, gdy autoryzowany pomocnik jest obecny, ma czas oraz koncepcję. Podałeś raporty ze strasznie starej wersji FRST pozbawionej licznych nowych skanów, komend i poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-07-2014 (ATTENTION: ====> FRST version is 210 days old and could be outdated) Ten program jest aktualizowany tak często (niejednokrotnie prawie dzień po dniu), że należy go za każdym razem pobierać od nowa! Proszę pobierz z przyklejonego najnowszą wersję i zrób nowe logi (wszystkie trzy): KLIK.

Mamy tu: wątpliwy program YAC(Yet Another Cleaner!) (to jest PUP = Potentially Unwanted Program!), koszmarnie stary Avast (o mój Boże, wersja z 2009!) oraz adware. W opisywanych problemach podstawową przyczyną moją być YAC, przykłady co wyczyniał na forum: KLIK, KLIK. Działania wstępne do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj stary avast! Antivirus oraz adware/PUP: Browser Good, HD Cinema Pro 1.8cV16.02, istartsurf uninstall, RegClean-Pro, Search App by Ask, Super Optimizer v3.2, Update for PriceFountain, WinZipper, YAC(Yet Another Cleaner!). 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut.