picasso

Temat czyszczę ze zbędnych postów. desire1988 proszę dostosuj się do zasad działu, przecież żadne obowiązkoweraporty nie zostały podane. Proszę dostarcz obowiązkowe raporty z FRST i GMER - to jest wymagane, by mieć odppowiedni kontekst do jakichkolwiek wyników skanowania (AdwCleaner i inne). Logi mają być dołączone w postaci oryginalnych plików jako załączniki, nie wklejaj w postach.

Ja jednak sądzę, że plik się zapisał w pierwszym podejściu, bo to drugie uruchomienie nadpisało poprzednie wyniki - brak jakichkolwiek oznak usuwania. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

beegeegrey, proszę trzymaj się moich instrukcji 1:1. Jeśli nie podaję żadnego Fix do FRST, ani nie podaję w poście wskazówek typu "powtórz punkt numer..." = nie uruchamiać. Miałeś tylko dokasować podany plik ręcznie, poprzedni Fixlist nieaktualny - nawiasem mówiąc ciągle ten sam problem z przeklejaniem i znów przełamania linii gdzie nie miało ich być. I Fixlist wskazuje, że AdwCleaner był uruchamiany ponownie, nie wiadomo w jakim celu, skoro z nim już był koniec zadań. Odpowiedz na pytanie co to była za akcja.

Logi z przestarzałego OTL nie są już obowiązkowe i je usuwam. W Firefox jest adware Strong Signal, szczątki tego adware są również w innych częściach systemu. Do wdrożenia następujące działania: 1. Odinstaluj program DriverDoc wątpliwego producenta "Solvusoft Corporation". 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150217 HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150217 BHO: No Name -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> No File CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-12-09] CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path C:\Program Files\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\McAfee C:\Users\Blysku\Downloads\adwcleaner*.exe C:\Users\Blysku\Downloads\wlsetup-web*.exe CMD: for /d %f in (C:\Users\Blysku\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W systemie są dwa konta: ==================== Accounts: ============================= Blysku (S-1-5-21-859423121-132849420-3883132106-1001 - Administrator - Enabled) => C:\Users\Blysku Błysku (S-1-5-21-859423121-132849420-3883132106-1000 - Administrator - Enabled) => C:\Users\Błysku Logi pochodzą z konta Blysku - czy to drugie jest używane? Jeśli nie, to je usuń. Jeśli jednak tak, to wymagane raporty FRST (z Addition, ale bez Shortcut) będąc zalogowanym na każdym koncie po kolei (poprzez pełny restart komputera a nie Wyloguj czy przełącz użytkownika). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj narzędzia ponownie, chodzi o wyniki poprzedniego usuwania)

Nie wiem jaki jest cel tytułowego działania, ale sugeruję postawić na inną trwalszą formę kopii zapasowej. Punkty Przywracania są efemeryczne i w niesprecyzowanym momencie czasowym ten punkt i tak zostanie skasowany przez system, by zrobić miejsce na nowsze. W raportach nic podejrzanego, ale: 1. Do deinstalacji stare dziurawe wersje: Adobe Flash Player 10 ActiveX, COMODO (komponenty z 2010!), Java™ 6 Update 30, OpenOffice.org 3.2 (nie potrafi współpracować z Java 7 i 8). Pozbądź się również Windows Installer Clean Up - to przeterminowany program wycofany ze względu na błędy, zastąpiony nowym bezinstalacyjnym narzędziem Microsoftu: KLIK. 2. Usunięcie archaicznego sterownika Afc filtrującego napędy CD/DVD (pozostawiony po jakimś programie do nagrywania) oraz kosmetyka (likwidacja mini-szczątków adware, wpisów pustych i Temp). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R3 Afc; C:\windows\System32\drivers\Afc.sys [11776 2005-02-23] (Arcsoft, Inc.) [File not signed] HKU\S-1-5-21-3403392427-2311443338-2248401027-1000\...\Winlogon: [shell] C:\windows\Explorer.exe [2616320 2011-02-25] (Microsoft Corporation) HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun Task: {195DB492-9718-4807-B72D-583D762D5A5F} - System32\Tasks\{9789D52F-AD84-4C1E-8B2F-3724800B8F1F} => pcalua.exe -a E:\dcim.exe -d E:\ Task: {211398CC-ECBE-4542-AF35-323FC800C0FC} - System32\Tasks\{D78B7B9D-0C7C-4255-B7B3-ED8E65D13B21} => C:\Users\Patryk\Downloads\Deluxe-Ski-Jump-21-Full\DSJ.EXE Task: {3387CF3C-D2FC-42E3-8A93-A76C8CC0AABB} - System32\Tasks\Digital Sites => C:\Users\Patryk\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: {AE23505A-E6D2-4A32-BD77-AA88E2B47AD7} - System32\Tasks\{11CDB7EE-63D0-47F5-AA5F-37533B76A195} => pcalua.exe -a C:\Users\Patryk\Downloads\Flash_Disinfector.exe -d "C:\Program Files\Mozilla Firefox" Task: C:\windows\Tasks\Digital Sites.job => C:\Users\Patryk\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE S3 DIRECTIORM; \??\c:\Program Files\RAMMon\DirectIo32.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] SearchScopes: HKLM -> DefaultScope value is missing. Toolbar: HKU\S-1-5-21-3403392427-2311443338-2248401027-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF NetworkProxy: "share_proxy_settings", true FF NetworkProxy: "type", 0 C:\Program Files\mozilla firefox\plugins C:\ProgramData\044CE38ECF.sys C:\ProgramData\KGyGaAvL.sys C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Burger Island C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K3DSurf 0.6.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MfGware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Secret Of Monkey Island 2 LeChuck's Revenge [PL] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\ProgramData\Temp C:\Users\Default\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Patryk\AppData\Local\unzip.exe C:\Users\Patryk\AppData\Roaming\*.dll C:\Users\Patryk\AppData\Roaming\LiveUpdate.exe C:\Users\Patryk\AppData\Roaming\LiveUpdate.ini C:\Users\Patryk\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\PDF Reader PDF Reader.lnk C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\PDF Reader Uninstall PDF Reader.lnk C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Pakiet JZK C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pakiet JZK C:\Users\Patryk\Documents\Corel\CorelDRAW X5 Samples\target.lnk C:\windows\System32\drivers\Afc.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Reader Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUS Screen Saver Protector" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\COMODO Internet Security" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EeeStorageBackup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LivCam" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UCam_Menu" /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji COMODO (o ile nadal będzie w systemie), musi zostać wyłączony, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

MarkFrank Zasady działu nie przeczytane: KLIK. Tu jest zakaz podpinania się pod cudze tematy i post poleci do kosza. Proszę założyć własny temat, dostarczyć obowiązkowe raporty z FRST i GMER i pokazać też co za "fixlist" był przetwarzany. kajak Proszę nie twórz postów-duplikatów, bo to nie przyśpieszy spraw - duplikat leci do kosza. Temat zostanie rozpatrzony w stosownym czasie bez przypominania. I na temat używania ComboFix: KLIK. EDIT: Raporty przejrzane. Do wykonania jeszcze poboczne zadania, tzn. usunięcie przekierowań easy-google-search.blogspot.com, czyszczenie bufora DNS i lokalizacji Temp. 1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 15 Plugin. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\ProgramData\Microsoft\Windows\GameExplorer\{2E842A51-A31E-4480-8CE4-158279A57CAE} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. 4. W Dzienniku zdarzeń są tego typu błędy: System errors: ============= Error: (02/17/2015 07:13:54 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Zgłoszone przez składnik: rdzeń procesora Źródło błędu: 3 Typ błędu: 9 Identyfikator procesora: 0 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Pod tym kątem załóż nowy temat w dziale Hardware podając dane wymagane działem: KLIK.

Istotnie, kluczowe były instalacje programów emulujących Alcohol / AstroBurn / DAEMON, z tym że uruchamiałeś "downloader" a nie docelowy właściwy instalator i stąd ogromne śmietnisko. Oryginalne instalatory również serwują śmieci (i np. wg raportu wślizgnęły się pewne dodatki), ale to inna sprawa. 2015-02-14 16:35 - 2015-02-14 16:35 - 00799744 _____ (Software ) C:\Users\samsung\Desktop\downloader_for_Alcohol120_FE_2.0.3.6951.exe Przeprowadź następujące działania: 1. Z Alcoholem zainstalował się także zbędny Smart File Advisor 1.1.7. Odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw; C:\windows\System32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw.sys [43152 2015-02-14] (StdLib) R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-14] (SysTool PasSame LIMITED) S2 Update Clock Hand; "C:\Program Files\Clock Hand\updateClockHand.exe" [X] CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT" CHR DefaultSearchKeyword: Default -> key-find HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} BHO: Positive Finds -> {30c85a3d-1d96-4589-b63f-91fb7ef45a41} -> C:\Program Files\Positive Finds\Extensions\30c85a3d-1d96-4589-b63f-91fb7ef45a41.dll No File BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited) Task: {E3800761-2128-4596-A5EF-4A6B65A8227E} - System32\Tasks\{E8C1FC11-4F63-412D-B6EB-60E47179B297} => pcalua.exe -a "D:\gry instalki\Sims.3.Razor1911.PL\Sims3_1.8.25.003002_from_1.0.631.00002.exe" -d "D:\gry instalki\Sims.3.Razor1911.PL" C:\Program Files\Alcohol Soft C:\Program Files\Clock Hand C:\Program Files\XTab C:\ProgramData\{*}.log C:\ProgramData\Arcade Lab C:\ProgramData\Astroburn Lite C:\ProgramData\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602 C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samsung\AppData\Roaming\OpenCandy C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk C:\Users\samsung\Desktop\Infa LAB\Infa LAB\Access\offline\htm\Notatnik.lnk C:\Users\samsung\Desktop\downloader_for_Alcohol120_FE_2.0.3.6951.exe C:\Users\Public\Documents\DAEMON Tools Images C:\windows\System32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy key-find oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na razie sprawa wygląda na banalną, czyli po prostu rekonfiguracja jednej opcji w Google Chrome. Do przeprowadzenia następujące działania: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mystartsearch.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\Install\oa3\ASUS\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X] Task: {6B7860E0-0E16-438A-A470-47F434C1153E} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-729605858-322563252-4247369298-1003 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe Task: {C2235C9B-F487-4D6E-A9E1-E6FFC47403F2} - System32\Tasks\{A1A6E7D9-78E0-4D3F-983E-73F542D70DBD} => pcalua.exe -a "C:\ProgramData\G Data\Setups\{85203592-3610-4FB9-AA11-15B2255B5A12}\setup.exe" -c /InstallMode=Uninstall /_DoNotShowChange=true ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\ProgramData\TEMP Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W raportach nie widać żadnych obiektów adware. Skoro nadal są reklamy w Google Chrome, jest to zaszyte gdzieś mocno w przeglądarce. Wstępne działania: 1. Odinstaluj zbędniki i starsze wersje: Akamai NetSession Interface, Java 7 Update 67, Java 8 Update 25. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane obiekty. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X] S3 dcdbas; system32\DRIVERS\dcdbas32.sys [X] Task: {1DE39C38-69FB-4786-A03F-CC9A9FE57F75} - System32\Tasks\{7255226E-3E75-4C90-B3ED-8BA7072D468F} => pcalua.exe -a C:\Users\dom\Downloads\GFX_Win7_15.12.75.4.1930_PV_Intel.exe -d C:\Users\dom\Downloads Task: {2159DDD7-DAD7-411D-BC0B-BD620B4923E0} - System32\Tasks\{4C4C9318-B8D5-4268-AC75-3ABD4C870EE8} => pcalua.exe -a "C:\Users\dom\Downloads\Audio_Realtek_Asus_September_2014\Windows 7, 8, 8.1 и Vista\Setup.exe" -d "C:\Users\dom\Downloads\Audio_Realtek_Asus_September_2014\Windows 7, 8, 8.1 и Vista" Task: {2E2478E2-A0BE-4BED-9AC2-AB6833026E02} - System32\Tasks\{D6E604CB-A3AF-45EF-A63B-3DAF7CFEA9D4} => pcalua.exe -a C:\Users\dom\Downloads\CrystalLauncher-Installer.exe -d C:\Users\dom\Downloads Task: {36A292ED-5870-4294-88B6-D8A3A4E84CB1} - System32\Tasks\{B5DCB01F-B59E-4510-A43F-E27FF3411572} => pcalua.exe -a "C:\Program Files\YouTube Accelerator\YTAUninstall.exe" HKU\S-1-5-21-3115265202-861073304-1815682740-1000\...\MountPoints2: {e27e6af8-5e5e-11e4-a306-6c71d9bc607c} - F:\sources\sperr32.exe x64 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\$360Section C:\Program Files\360 C:\ProgramData\360Quarant C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\dom\AppData\Roaming\OJP C:\Users\dom\AppData\Roaming\XTZSVL C:\Users\dom\Downloads\*(*)-dp*.exe C:\Users\dom\Downloads\AdwCleaner*.exe C:\Windows\Tasks\360Disabled Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f C:\ProgramData\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany, nie uruchamiaj programu ponownie, chodzi o poprzednie rezultaty). Wypowiedz się czy reklamy nadal występują.

W przeglądarkach Firefox i Google Chrome jest adware Strong Signal, są też inne niepożądane aplikacje. Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj adware/PUP: key-find uninstall, Registry Dr, Strong Signal. Pozbądź się też DriverPack Solution Updater. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423750696&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9GF836649 CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423750696&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9GF836649" CHR DefaultSearchKeyword: Default -> key-find CHR Extension: (Strong Signal) - C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\lchgpdbcbebecigcoclaoebchenjbgak [2015-02-13] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKU\S-1-5-21-572225163-2724440774-3182437306-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {DC3BBE5C-44BA-4875-B086-3C072F4848D2} - System32\Tasks\{5C8E8B62-0BC9-4F0B-820E-4378A507CDEF} => pcalua.exe -a "C:\drivers\AMD Video Driver\Setup.exe" -d "C:\drivers\AMD Video Driver" C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bartek\Downloads\WinAVI_Video_Converter*.exe C:\Windows\msdownld.tmp CMD: for /d %f in (C:\Users\Bartek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie YouTube Center trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Strong Signal Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włączysz ponownie ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy key-find oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Jest tu także przeglądarka Comodo Dragon. FRST nie skanuje jej preferencji. Powtórz podobne kroki jak dla Google Chrome. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj ponownie programu, chodzi o sprawdzenie co usuwano wcześniej).

Do wdrożenia następujące działania: 1. Na początek zredukuj ilość antywirusów, bo jest tu niezdrowa sytuacja. Odinstaluj albo AVG 2015, albo COMODO Antivirus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2725652805-2884153030-3423392268-1000\...\Run: [nvxasync] => C:\Users\bart\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-15] () HKU\S-1-5-21-2725652805-2884153030-3423392268-1000\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-15] () HKU\S-1-5-21-2725652805-2884153030-3423392268-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-2725652805-2884153030-3423392268-1000 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-2725652805-2884153030-3423392268-1000 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 C:\ProgramData\nvxasync C:\Users\bart\AppData\Local\Preferences C:\Users\bart\AppData\Local\Secure Preferences C:\Users\bart\AppData\Roaming\chportu C:\Users\bart\AppData\Roaming\nvxasync EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Jeśli to COMODO pozostanie, należy go wyłączyć, by nie zablokował operacji FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Firefox był już resetowany, ale logi pochodzą sprzed kilku dni (w tle cały czas czynna infekcja), więc zrób to jeszcze raz: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

piter, jeśli nikt jeszcze nie odpisał, proszę nie twórz posta pod postem tylko uzupełniaj informacje via opcja Edytuj. Cała seria postów powyżej sklejona w jeden post. Druga sprawa: jak zasady prawią, linki przekierowań mają być podawane w postaci nieaktywnej - link w pierwszym poście "zdeaktywowany". Wracając do problemu adware, na początek deinstalacje. To jedynie wstęp i nie rozwiąże problemu do końca, poprawki zostaną zadane po ukończeniu tej pierwszej fazy. Na początek więc: 1. Przez Panel sterowania odinstaluj te pozycje adware: BubbleSound, GamesDesktop 013.130, Software Updater. 2. Pobierz najnopwszą wersję FRST z przyklejonego: KLIK. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut).

Madzio, problem podstawowy został sformułowany nieprecyzyjnie (koncentracja uwagi na błędzie startowym po nieprawidłowo odinstalowanym TuneUp), a temat założony w złym dziale (diagnostyki infekcji). Przecież problem z monitorem to jest problem sprzętowy. Temat przenoszę do działu Hardware, usuwam raporty z FRST, gdyż są nieistotne w kontekście problemu. Dostarcz dane sprzętowe: KLIK. I proszę nie tworzyć tematów-duplikatów, usuwam duplikat.

Błąd tworzy adware serii "SqueakyChocolate". Proszę dostarcz raporty z FRST i to poprawnie, nie tak jak w poprzednich nieudanych tematach. Raporty mają być w postaci załączników forum (doczepione oryginalne pliki), a nie wklejane w poście. W poprzednich tematach z gasnącym monitorem (duplikat!) raporty FRST zostały niepoprawnie wklejone w postach i zniekształcone.

Proszę nie zniekształcaj raportów z FRST - dostarczone pliki to nie są oryginały, tylko przeklejona wtórnie treść zapisana ponownie do nowych plików. Skutki: "Additional.txt" to sieczka przejść do nowych linii w środku i fatalnie się to czyta, wszystkie raporty są w złym kodowaniu ANSI (a nie UTF-8 jak oryginały), które powoduje utratę specjalnych znaków. Jest tu infekcja routera, pierwszy adres jest ukraiński: KLIK. To jest główny powód występowania erostron i tego nie rozwiąże żaden antywirus czy inne narzędzie uruchomione spod Windows, problem leży w innym urządzeniu. Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 Poza tym, są mniejsze śmieci w postaci różnych obiektów adware (niektóre w systemie od bardzo dawna). Do wdrożenia następujące operacje: 1. Jeśli masz dostęp, zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Zrób nowe logi FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dostarcz oryginalne pliki a nie "przeklejki".

Zadania wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Bench C:\Program Files (x86)\Temp C:\ProgramData\1078601655 C:\ProgramData\3f3f6040000014f2 C:\ProgramData\McAfee C:\ProgramData\Roaming C:\ProgramData\ShoppingDealFactory C:\Users\Masa\AppData\Local\globalUpdate C:\Users\Masa\AppData\LocalLow\Protect C:\Users\Masa\AppData\Roaming\Local C:\Users\Masa\AppData\Roaming\rmi Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na początek wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

A co z AdwCleaner - czy on nic nie pokazał, że temat urwał się w tym punkcie? Dzięki za dotację!

Poprzednie sprawy załatwione, ale robota od początku. W międzyczasie znów nabawiłeś się adware! Wygląda na to, że pobierałeś DAEMON Tools Lite z jakiegoś lewego źródła i uruchomiłeś coś w stylu "Asystent pobierania". Proszę przeczytaj czego unikać, jak nie pobierać: KLIK. W związku z tym proszę o dostarczenie także plików FRST Addition i Shortcut.

Dodam, że dobreprogramy wprowadziły ostatnio drobną zmianę w związku z zastrzeżeniami do niejawności klucza 1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I tworzonego przez "Asystenta" w rejestrze. Ponoć "Asystent" nie pokazuje się już w przeglądarkach z wyłączoną funkcją słodkości: Portal Dobreprogramy a ustawa Ustawa o prawie telekomunikacyjnym z dnia 16 listopada 2012 Dodam informację do mojego tematu.

DevicesFix, nie rozumiem pytania i odnoszę wrażenie, że błędnie zinterpretowałeś słowo "Serwis" w kontekście tutejszego forum. Co ma wspólnego Twój projekt z moim (charytatywnym!) forum oraz jaki jest cel pytania o raporty FRST/OTL (które w oczywisty sposób są tu podstawą różnej diagnostyki, o czym mówią zasady poszczególnych działów).

Registry Commander Strona domowa (strona z prefiksem http) Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware Registry Commander - Alternatywny edytor rejestru inspirowany programem Total Commander (stąd konotacje nazewnicze). Oferuje większość funkcji orginalnego regedit oraz dodatkowe własne rozwiązania. Podstawową cechą odróżniającą ten program od regedit jest inne podejście prezentacyjne i nawigacyjne. Brak lewego bocznego panelu z drzewem kluczy, klucze i wartości są prezentowane wspólnie w obrębie tego samego okna na podobieństwo normalnych folderów. Nawigacja do głównych gałęzi ma też powiązane skróty klawiaturowe. Ponadto znajdziemy tu dodatkowe ulepszenia nieobecne w regedit: Statystyki kluczy: ilość podkluczy i wartości, długość, rozmiar, data ostatniego zapisu. Kolumna informacyjna wyświetlająca rozmiar danych wartości w bajtach. Detekcja 12 typów wartości (m.in. REG_LINK) identyfikowanych kolorem. Odsyłam do materiału referencyjnego Registry Data Types. Zmiana typu danych wartości (np. wartości ciągu na wartość binarną) bez zmiany zawartości danych wartości. Podgląd danych wartości w innym formacie bez modyfikacji danych wartości. Np. wartość ciągu może być oglądnięta jako wartość binarna i vice versa. Kopiowanie i przenoszenie kluczy / wartości w inne miejsce. Rozszerzona wyszukiwarka wyposażona w definiowanie zakresu lokalizacji oraz dodatkowe warunki (wyszukiwanie wg typu wartości oraz rozmiaru). Funkcja "Jump to key" pozwalająca na szybkie otworzenie konkretnego klucza rejestru. Protokół reg:// umożliwiający tworzenie linków do wybranych kluczy, działających na tej samej zasadzie co adresy http://. Historia (otwierana przez klik na ścieżkę aktualnie otworzonego klucza) umożliwiająca szybką nawigację między bieżącym kluczem a poprzednio otworzonym. Rozwinięty system zakładek kluczy i wartości, z możliwością zapisywania komentarzy. Zakładki można importować i eksportować. Wadą jest jednak brak takich funkcji jak dostęp do konfiguracji uprawnień czy ładowanie gałęzi rejestru offline. W konfiguracji można zmienić detale graficzne typu kolor okna. Program jest 32-bitowy, ale potrafi na systemie 64-bit odczytać 64-bitową część rejestru i ma opcję sterującą tą możliwością. Na systemie 64-bit opcja odczytu rejestru x64 jest domyślnie włączona. Nie wymaga instalacji.

Przypisanie domyślnej przeglądarki naprawiło prawie wszystko. Została do odbudowy mała część w gałęzi HKLM. 1. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp] "Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}" "ShellFolder"="{63da6ec0-2e98-11cf-8d82-444553540000}" @="URL:File Transfer Protocol" "AppUserModelID"="Microsoft.InternetExplorer.Default" "EditFlags"=dword:00200002 "URL Protocol"="" "FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-905" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\DefaultIcon] @="C:\\Windows\\System32\\url.dll,0" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open] "CommandId"="IE.Protocol" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1" "DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http] "Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}" @="URL:HyperText Transfer Protocol" "AppUserModelID"="Microsoft.InternetExplorer.Default" "EditFlags"=dword:00200002 "URL Protocol"="" "WebNavigableCLSID"="{ae90e550-0443-47fb-a001-4875648d4ed3}" "FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-903" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\DefaultIcon] @="C:\\Windows\\System32\\url.dll,0" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\Extensions] ".ASF"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}" ".WM"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}" ".WMA"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}" ".WMV"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open] "CommandId"="IE.Protocol" "DontReturnProcessHandle"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1" "DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https] "Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}" @="URL:HyperText Transfer Protocol with Privacy" "AppUserModelID"="Microsoft.InternetExplorer.Default" "EditFlags"=dword:00200002 "URL Protocol"="" "FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-904" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\DefaultIcon] @="C:\\Windows\\System32\\url.dll,0" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open] "CommandId"="IE.Protocol" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1" "DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Dużo obiektów zniknęło, ale nie wszystkie. Poprawki: 1. Deinstalacje: - Uruchom ponownie narzędzie Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście dwa odpadki Google Update Helper > Dalej. - Nie zostały odinstalowane stare wersje: OpenOffice.org 3.4.1, Opera 12.15. Potem zamienisz najnowszymi. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6a0e715f-5cd3-4402-8a39-80497da09315}Gw64; C:\Windows\System32\drivers\{6a0e715f-5cd3-4402-8a39-80497da09315}Gw64.sys [48776 2015-01-23] (StdLib) R1 {dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64; C:\Windows\System32\drivers\{dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64.sys [48776 2014-11-26] (StdLib) R1 {e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64; C:\Windows\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64.sys [48832 2014-10-16] (StdLib) S2 0085711423938610mcinstcleanup; C:\Users\Teresa\AppData\Local\Temp\008571~1.EXE [851136 2014-08-08] (McAfee, Inc.) S0 cfwids; system32\drivers\cfwids.sys [X] S0 mfeapfk; system32\drivers\mfeapfk.sys [X] R0 mfeavfk; system32\drivers\mfeavfk.sys [X] S0 mfeelamk; system32\drivers\mfeelamk.sys [X] S4 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe" [X] S0 mfefirek; system32\drivers\mfefirek.sys [X] R0 mfehidk; system32\drivers\mfehidk.sys [X] S2 mfevtp; "C:\Windows\system32\mfevtps.exe" [X] R0 mfewfpk; system32\drivers\mfewfpk.sys [X] R1 wpnfd_1_10_0_1; system32\drivers\wpnfd_1_10_0_1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {1CB0ECE1-72EE-4144-B8F4-BE8411667B39} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-4 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.exe Task: {269D5B6E-4333-4DA5-89D1-18BB76FA8345} - System32\Tasks\$crrUnisntlDsply$ => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe Task: {2FB5E814-CEBB-4619-B667-23628D8C438B} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-6 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.exe Task: {48F3E775-3D5D-476F-87FF-08A99593EBA5} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe Task: {56E72D86-428C-47F1-B6FC-0106B0B83087} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-05-01] (Google Inc.) Task: {5E3C5EAE-131D-4FF9-A7A6-75C650C55AF2} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-11 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.exe Task: {6E7BCF66-1376-47BE-A598-7B8617A5C971} - System32\Tasks\QtraxPlayer1 => 2373174348.portal.qtrax.com Task: {99776C1C-692F-41E9-8E1C-8EDDE7E95C17} - System32\Tasks\Yahoo! Search Updater => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe Task: {A3DDCBCD-5B48-40E2-B2D3-DC29D2D3003E} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-1 => C:\Program Files (x86)\V-9.1HD\V-9.1HD-codedownloader.exe Task: {A735EB91-D786-46A3-AD54-275B0DEE03AD} - System32\Tasks\Yahoo! Search => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe Task: {AADE4846-295C-46DE-A567-3123F9EC7F9B} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5_user => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe Task: {B18418D1-8DB5-47ED-99DF-5E0455E42785} - System32\Tasks\Super Optimizer Schedule => C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe Task: {C9E4DD4C-CA60-4591-9A03-7108A7391BE9} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-3 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.exe Task: {CE746D22-B9D5-466C-BC92-8091D4A45FC6} - System32\Tasks\{D56D26EE-EDDE-4EB5-ACB8-B5ECB0A4CDFD} => pcalua.exe -a "C:\Users\Teresa\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe" -c /Uninstall /NM="VuuPC Packages" /AN="0C1I1L1R1J0M1P0I1G" /MBN="VuuPC Packages" Task: {D10A1E12-8123-404A-A94A-6A06EA301DFD} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-7 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.exe Task: {D7557B04-2BBB-4F07-BAF1-0A71DE208546} - System32\Tasks\$crrUnisntlDsply$ Updater => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrsetup.exe Task: {DECE6A14-491F-48E0-9811-19178C16899A} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-05-01] (Google Inc.) Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-1.job => C:\Program Files (x86)\V-9.1HD\V-9.1HD-codedownloader.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5_user.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.exe÷/agentregpath='V-9.1HD-nv' /appid=61776 /srcid='001257' /subid='0' /zdata='0' /bic=E6C847BFD79E4DB3AC6D92818F946D90IE /verifier=ef93e2ff738c98214735b53c23a51401 /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1410026033 /statsdomain=http://stats.loadgenclientservice.com /errorsdomain=http://errors.loadgenclientservice.com /codedownloaddomain=http://js.loadgenclientservice.com /defbro=ch /DllName32ToInjectToChrome='b26e05ab-9f7f-47e6-b72f-75296602bf69.dll' /DllName64ToInjectToChrome='b0b90348-9adb-42ba-b2c4-75c785f0cda6.dll' /nova64bitexe='84c549b1-3b85-4bc5-9c93-240c48ad7371-64.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.exe·/updateapp /agentregpath='V-9.1HD-nv' /appid=61776 /srcid='001257' /subid='0' /zdata='0' /bic=E6C847BFD79E4DB3AC6D92818F946D90IE /verifier=ef93e2ff738c98214735b53c23a51401 /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1410026033 /statsdomain=http://stats.loadgenclientservice.com /errorsdomain=http://errors.loadgenclientservice.com /codedownloaddomain=http://js.loadgenclientservice.com /defbro=ch /DllName32ToInjectToChrome='b26e05ab-9f7f-47e6-b72f-75296602bf69.dll' /DllName64ToInjectToChrome='b0b90348-9adb-42ba-b2c4-75c785f0cda6.dll' /nova64bitexe='84c549b1-3b85-4bc5-9c93-240c48ad7371-64.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.14 1738.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms} HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=5A2F12689D4CB918&affID=119357&tt=040713_ctrl&tsp=4934 HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms} URLSearchHook: [s-1-5-21-1347931101-2817040922-1319910007-1001] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.27010003&st=12&q={searchTerms}&barid={DCF778A7-403F-4FAD-9B81-432F5A803092} SearchScopes: HKU\S-1-5-21-1347931101-2817040922-1319910007-1002 -> DefaultScope {32E41EB3-8AD3-44DD-8888-C1A0DE815239} URL = http://rts.dsrlte.com/?affID=&q={searchTerms}&r=686 SearchScopes: HKU\S-1-5-21-1347931101-2817040922-1319910007-1002 -> {32E41EB3-8AD3-44DD-8888-C1A0DE815239} URL = http://rts.dsrlte.com/?affID=&q={searchTerms}&r=686 BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File BHO-x32: Shopping Suggestion. -> {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKLM-x32 - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe http://www.delta-homes.com/?type=sc&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT C:\Program Files\Common Files\mcafee C:\Program Files\McAfee C:\Program Files (x86)\brrOwseandsshaoP C:\Program Files (x86)\buyfAst C:\Program Files (x86)\FreeSoftToday C:\Program Files (x86)\Google C:\Program Files (x86)\McAfee C:\Program Files (x86)\MyFree Codec C:\Program Files (x86)\oFFFersale C:\Program Files (x86)\ofufersooFt C:\Program Files (x86)\PlantUML Viewer C:\Program Files (x86)\Priozzeccoupon C:\Program Files (x86)\rec_pl_8 C:\Program Files (x86)\sAleeOfffEr C:\Program Files (x86)\VLC Player GPU+ C:\ProgramData\1471e994ff1d2b46 C:\ProgramData\1473215379271396166 C:\ProgramData\bUyfuast C:\ProgramData\brrOwseandsshaoP C:\ProgramData\couponcheapchea C:\ProgramData\ee70f246-63a3-464e-a2ed-28bc4d8db631 C:\ProgramData\hdoefmllnllcdklhnbmfgancponedmdm C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\salesale C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Open It! C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Teresa\AppData\Local\CrashDumps C:\Users\Teresa\AppData\Local\Google C:\Users\Teresa\AppData\Local\fst_pl_14 C:\Users\Teresa\AppData\Local\Mozilla C:\Users\Teresa\AppData\Local\rec_pl_8 C:\Users\Teresa\AppData\Roaming\appdataFr3.bin C:\Users\Teresa\AppData\Roaming\Mozilla C:\Users\Teresa\AppData\Roaming\MsDtc C:\Users\Teresa\AppData\Roaming\Systweak C:\Users\Teresa\Downloads\GoogleEarthSetup*.exe C:\Users\Teresa\Downloads\Installer_*.exe C:\Users\Teresa\Downloads\Niepotwierdzony*.crdownload C:\Windows\System32\drivers\{6a0e715f-5cd3-4402-8a39-80497da09315}Gw64.sys C:\Windows\System32\drivers\{dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64.sys C:\Windows\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Teresa\AppData\Local CMD: dir /a C:\Users\Teresa\AppData\LocalLow CMD: dir /a C:\Users\Teresa\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na szybko ustosunkuję się do: To normalna grupa występująca na każdym systemie Windows 7 zaraz po jego instalacji. W tej grupie są różne natywne preinstalowane sterowniki systemu które nie pochodzą od stricte "hardware" (np. sterownik Winsock), a także dodają się sterowniki aplikacji trzecich np. antywirusów.

Proszę przedstaw co robiłeś oraz dostarcz nowe raporty z FRST mające obrazować zmiany.