picasso

Deinstalacja nie usunęła wszystkiego, m.in. ogromna ilość sterowników adware na chodzie. Przechodzimy do poprawek: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {16a92140-918d-4afb-9edb-46f22437bb10}w64; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys [48792 2015-01-25] (StdLib) R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [48792 2015-01-28] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}w64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys [48792 2015-01-20] (StdLib) R1 {915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64; C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64.sys [48792 2015-01-22] (StdLib) R1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [48792 2015-01-09] (StdLib) R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64.sys [48792 2015-01-13] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}w64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys [48792 2015-01-16] (StdLib) R1 {f81878fa-25e9-442d-8ada-79658b6520f2}w64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}w64.sys [48792 2015-01-10] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2014-12-29] (XTab system) R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [366832 2015-02-04] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420871780&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 HKU\S-1-5-21-2654220689-2568901334-3418674353-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6&q={searchTerms} BHO-x32: Dynamo Combo 1.0.0.7 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoComboBHO.dll (Dynamo Combo) Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2654220689-2568901334-3418674353-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420871792&from=cor&uid=ST320LT012-9WS14C_S0V8FKG6XXXXS0V8FKG6" CHR DefaultSearchKeyword: Default -> omiga-plus C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GoodGameEmpire.lnk C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoodGameEmpire C:\Users\1\Desktop\GRY\GoodGameEmpire.lnk C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}w64.sys C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}w64.sys CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Dynamo Combo. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Deinstalacja jakoby usunęła adware. Czy widzisz nadal w którejś przeglądarce (przede wszystkich Google Chrome) objawy? I poprawki pod kątem wpisów pustych i różnych odpadków: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-2928405230-1758367624-1279515289-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki SearchScopes: HKU\S-1-5-21-2928405230-1758367624-1279515289-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKU\S-1-5-21-2928405230-1758367624-1279515289-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-2928405230-1758367624-1279515289-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-2928405230-1758367624-1279515289-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2928405230-1758367624-1279515289-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-2928405230-1758367624-1279515289-1000\...\Policies\Explorer: [HideSCAHealth] 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CHR HKLM-x32\...\Chrome\Extension: [cmaiofennmphjldldcpphcechfnnohja] - C:\Program Files (x86)\AdTrustMedia\PrivDog\PrivDog_chrome.crx [Not Found] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X] S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {0B530EAE-70AD-4FC2-AE43-5DEC729AD2FD} - System32\Tasks\{7C4EE3A1-2CD4-4F14-88B7-F01E56722164} => pcalua.exe -a C:\Users\Mistgun\Downloads\gothic1_playerkit-1.08k.exe -d C:\Users\Mistgun\Downloads Task: {18D4C05A-4115-47BA-A290-DA8C64BA094C} - System32\Tasks\{469698B5-584E-4069-8A9D-5A1C68FD4F3E} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\VSIXInstaller.exe" -c "C:\Users\Mistgun\Downloads\ThemeManagerPackage (1).vsix" Task: {9B106A34-8F07-4C4F-9B6C-7C8267241F59} - System32\Tasks\{C63BDC66-300F-46CD-AC86-7D5D6BF1479F} => pcalua.exe -a "C:\Program Files (x86)\Piranha Bytes\Materiały Dodatkowe\gothic1_playerkit-1.08k.exe" Task: {D5638E5A-A6B1-46C4-8AE4-4E9B8E51C144} - System32\Tasks\{1FAA09E0-1779-4648-9724-269067EC6686} => pcalua.exe -a C:\Users\Mistgun\Downloads\chromeinstall-7u60.exe -d C:\Users\Mistgun\Downloads C:\Program Files (x86)\36bd3391.tmp C:\Program Files (x86)\Common Files\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602 C:\ProgramData\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602.rar C:\ProgramData\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602 C:\Users\Mistgun\AppData\Roaming\IHlpr C:\Users\Mistgun\Downloads\bankerfix.exe C:\Users\Mistgun\Downloads\plugincontainer.bak C:\Users\Mistgun\Downloads\Niepotwierdzony*.crdownload C:\Windows\msdownld.tmp C:\Windows\pss\genesis_08132043.lnk.Startup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Mistgun^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^genesis_08132043.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetLimiter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

Do usunięcia są tylko programy, które podałam w spoilerze, czyli 24 pozycje o konkretnych nazwach. Inne obiekty pokazane w narzędziu Cię nie interesują. Owszem, niewdzięczna robota z wielokrotnym uruchamianiem narzędzia.

1. Rozpocznij od poprawnej deinstalacji via Panel sterowania: - Adware: Dynamo Combo, GoodGameEmpire, omiga-plus uninstall, Smileys We Love Toolbar for IE, UpdateChecker - Stare wersje: Google Toolbar for Internet Explorer, OpenOffice.org 2.4 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut, by powstały trzy logi.

Tak, jest tu szkodnik Positive Finds, który uruchamia procesy Plugin.exe. Przeprowadź następujące działania: 1. Rozpocznij od poprawnej deinstalacji via Panel sterowania: - Adware: Genesis, Positive Finds - Stare wersje: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 60, Java 7 Update 67 (64-bit) 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty.

1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję opcji Szukaj + Usuń. 2. Folder adware HDtubeV1.6V09.02 został usunięty z dysku za pomocą FRST. Sprawdź czy nadal widzisz tę pozycję w rozszerzeniach Opery i czy można to odinstalować za pomocą przycisku "x". 3. Jest tu problem z ustawieniami domyślnej przeglądarki. Podaj mi dodatkowy skan. Do Notatnika wklej: Reg: reg query HKCU\Software\Classes Reg: reg query HKCU\Software\Classes\.htm /s Reg: reg query HKCU\Software\Classes\.html /s Reg: reg query HKCU\Software\Classes\.shtml /s Reg: reg query HKCU\Software\Classes\.webm /s Reg: reg query HKCU\Software\Classes\.xht /s Reg: reg query HKCU\Software\Classes\.xhtml /s Reg: reg query HKCU\Software\Classes\ftp /s Reg: reg query HKCU\Software\Classes\http /s Reg: reg query HKCU\Software\Classes\https /s Reg: reg query HKCU\Software\Clients\StartMenuInternet /s Reg: reg query HKLM\SOFTWARE\Classes\.htm /s Reg: reg query HKLM\SOFTWARE\Classes\.html /s Reg: reg query HKLM\SOFTWARE\Classes\.shtml /s Reg: reg query HKLM\SOFTWARE\Classes\.webm /s Reg: reg query HKLM\SOFTWARE\Classes\.xht /s Reg: reg query HKLM\SOFTWARE\Classes\.xhtml /s Reg: reg query HKLM\SOFTWARE\Classes\ftp /s Reg: reg query HKLM\SOFTWARE\Classes\http /s Reg: reg query HKLM\SOFTWARE\Classes\https /s Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet /s Reg: reg query HKLM\SOFTWARE\Policies Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Tak, niestety w tym narzędziu można wybrać tylko jeden program na raz, więc akcję trzeba powtórzyć tyle razy, ile pozycji przeze mnie podanych. Co do wyników szukania plików, to jak mówię musisz poczekać, bo muszę wyszukać poprawne pliki w idealnie dobranych wersjach z własnego systemu witualnego. Gdy je znajdę, podam instrukcję jak zamienić pliki.

Jest tu ogromna ilość źle doczyszczonych obiektów adware. Do wdrożenia następujące akcje: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware CinPl2.3c, iWebar, Sense, Settings Manager, Shopper-Pro, YouTube Accelerator oraz starą dziurawą przeglądarkę Safari. Większość obiektów adware jest uszkodzona, ale Windows powinien przynajmniej zapytać czy usuwać puste wpisy. Jeśli coś będzie niewidoczne, nie szkodzi, kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek po McAfee Shared C Run-time for x64 > Dalej. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: S2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-08-25] (ShopperPro) S3 gobi3kserial; \SystemRoot\system32\DRIVERS\gobi3kserial.sys [X] U0 sr; No ImagePath Task: {12350FB1-F33A-470A-B583-CD93B5169EC3} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7 => C:\Program Files (x86)\iWebar\iWebar-nova.exe Task: {1CBD6430-EE47-47DF-8ABB-DF7CF4B949E7} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-7 No Task File Task: {1EC174B4-72EB-41AF-89CF-A6963546E34D} - \fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-6 No Task File Task: {1FBB3D45-8C7B-4445-965C-9D18BB53773F} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: {24B701CB-C50D-46DD-933A-43853FB6D075} - \58190bb1-7aef-4912-950a-963a46bafae2 No Task File Task: {2FB814CB-3DC1-452B-9549-7AFD64CF9E1C} - System32\Tasks\SPBIW_UpdateTask_Time_323132313931313135312d6c5b5a345b4132452d5a346c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {30CD6C54-B85E-405C-A9E0-9DC3E2E6FFD6} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe Task: {32E628D9-C8BC-4033-B20A-EE4B1668E5F5} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6 => C:\Program Files (x86)\iWebar\iWebar-nova.exe Task: {36ABF8B5-8FAE-4E5C-8C41-CDCD8D1E401A} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.exe Task: {402325E8-4870-4B2B-BEEA-3E18AEAC6DA1} - \VeriBrowse Update No Task File Task: {420BC218-3A91-4736-A65D-261D01CE7BDF} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-2 No Task File Task: {45ED9750-4649-4088-9EC0-433CD9CFB3FA} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe Task: {461AC0B9-4254-426A-9A7F-D619FB691CF6} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe Task: {5047A519-2C43-4DFB-BB65-9FE7A23AC422} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-11 No Task File Task: {571F4961-0B79-45E5-A9D2-C4FB87A92456} - \VeriBrowse_wd No Task File Task: {5AEA5C41-4ED9-4BDB-89E0-2662022EE183} - \fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-7 No Task File Task: {5B7D364E-8E6B-4CFA-B1BA-1CD0AEA2D1E3} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe Task: {65CCD407-0B34-4FEE-824E-47E6AF4DA880} - \{F637104A-6CC3-45BD-A310-2668EBF45323} No Task File Task: {67E83C4F-DDF7-4EF9-96C6-A6F3852835D5} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe Task: {816A897E-2790-4DE9-9790-DC7069F253A1} - \JCWLUB No Task File Task: {82459B22-E08C-4092-B08C-1FEC72B5E962} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.exe Task: {86D29002-0D21-42B5-91BB-F9FC782D6C60} - \SGDVIPS No Task File Task: {9555D4DA-7C9D-4F7C-A235-8F635005D54C} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-3 No Task File Task: {9BEFDC80-2434-4B55-AECC-8B5C95DEF47D} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {9C580F5D-835E-4D40-AB49-EC86EE0B0DBF} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe Task: {9F5FD23B-8FB9-4AA8-992F-6127C68D06DF} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-4 No Task File Task: {ADB63BFF-C898-43C8-A21D-CF107E06AD2F} - System32\Tasks\{BA308ECB-A757-434E-874A-EE13FBCB1A55} => pcalua.exe -a C:\Users\Ewa\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {B08E3E71-F600-4B35-B907-0179A78AC679} - System32\Tasks\{9951A34F-A21C-462D-A3DA-DBE7A49D6C6D} => pcalua.exe -a "C:\Program Files (x86)\Linkey\uninstall.exe" Task: {B168F218-B930-496F-BAFB-B328C3F33F3A} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5 No Task File Task: {BEFE3280-A343-4874-A725-67AA3B7730CC} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5_user No Task File Task: {C16906BD-4A7D-47D0-912F-8B7A7A2DAC0E} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: {DFA9FE22-B39C-4048-AC3C-6D95203C25A0} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe Task: {E867158A-E802-40E9-BC0A-B04110E058B1} - System32\Tasks\{B9370387-B187-410A-99C6-CBA32ED98C09} => pcalua.exe -a E:\Autorun.exe -d E:\ Task: {E9A373BC-DA72-4E38-BD9D-DA0D7F071579} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-6 No Task File Task: {EA92488D-B2F1-4615-9149-FFCEB2536081} - \93655049-c0b7-4419-850b-cd1147cf527c No Task File Task: {EB766ECE-745E-478A-B0A2-73882B66FEF4} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-1 No Task File Task: {EC7DA5C1-337A-4078-A4EC-7A37C5566466} - System32\Tasks\{BE9BFBFE-1F42-4661-8D81-2EAAC5485616} => pcalua.exe -a "C:\Users\Ewa\AppData\Roaming\0F1F1C2Y1H1P1C0I0T\Windows Live Mail Packages\uninstaller.exe" -c /Uninstall /NM="Windows Live Mail Packages" /AN="0F1F1C2Y1H1P1C0I0T" /MBN="Windows Live Mail Packages" Task: {F78ADDD2-D0FA-4CC6-8CED-5E3A74575920} - System32\Tasks\{03AC0B2E-FE94-46FE-B5AE-940BF0817022} => pcalua.exe -a "C:\Program Files (x86)\Windows Live\Installer\wlarp.exe" Task: {FEAAAF52-087E-427A-B95F-23CF7F13D9A9} - \f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-9 No Task File Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6.job => C:\Program Files (x86)\iWebar\iWebar-nova.exe Task: C:\WINDOWS\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7.job => C:\Program Files (x86)\iWebar\iWebar-nova.exe Task: C:\WINDOWS\Tasks\58190bb1-7aef-4912-950a-963a46bafae2.job => C:\Program Files (x86)\CinPl2.3c\58190bb1-7aef-4912-950a-963a46bafae2.exe Task: C:\WINDOWS\Tasks\93655049-c0b7-4419-850b-cd1147cf527c.job => C:\Program Files (x86)\CinPl2.3c\93655049-c0b7-4419-850b-cd1147cf527c.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-1.job => C:\Program Files (x86)\CinPl2.3c\CinPl2.3c-codedownloader.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-11.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-11.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-2.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-2.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-3.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-3.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-4.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-4.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5_user.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-6.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-6.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-7.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-7.exe Task: C:\WINDOWS\Tasks\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-9.job => C:\Program Files (x86)\CinPl2.3c\f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-9.exe?/errorsdomain='http://errors.loadgenclientservice.com/utility.gif' /appid=63441 /srcid='002065' /subid='0' /zdata='0' /bic=77ACCD1E35FF4D09BB35F3754B26560BIE /verifier=f02e1bfcadf0b464966fafdbda8253cf /installerversion=1_35_09_03 /installationtime=1410028560 /dodecode=false /filesstring=' "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-3.exe" : "10", "aee4a39d-0e91-4b82-8bb8-795f061b77b0.crx" : "17", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-11.exe" : "23", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0.crx" : "22", "1293297481.mxaddon" : "18", "aa5d426a-0301-4985-bd3a-b117aab116c2.crx" : "19", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-7.exe" : "13", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-6.exe" : "14", "aee4a39d-0e91-4b82-8bb8-795f061b77b0.dll" : "15", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-64.exe" : "24", "a791f5c3-bbbc-4c3b-941d-66642821299b.dll" : "25", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-4.exe" : "12", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0.xpi" : "20", "CinPl2.3c-codedownloader.exe" : "1", "CinPl2.3c-bho.dll" : "6", "CinPl2.3c-bho64.dll" : "7", "CinPl2.3c-bg.exe" : "8", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-2.exe" : "9", "f5db5b5a-84f5-4f02-9b56-df6b81aed2b0-5.exe Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-3.exe Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-5.exe Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-6.job => C:\Program Files (x86)\Sense\Sense-nova.exe Task: C:\WINDOWS\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-7.job => C:\Program Files (x86)\Sense\Sense-nova.exe Task: C:\WINDOWS\Tasks\JCWLUB.job => C:\Users\Ewa\AppData\Roaming\JCWLUB.exe Task: C:\WINDOWS\Tasks\SGDVIPS.job => C:\Users\Ewa\AppData\Roaming\SGDVIPS.exe Task: C:\WINDOWS\Tasks\VeriBrowse Update.job => C:\Program Files (x86)\VeriBrowse-soft\VeriBrowsef28.exe Task: C:\WINDOWS\Tasks\VeriBrowse_wd.job => C:\Program Files (x86)\VeriBrowse-soft\VeriBrowseD.exe HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.871\jsdrv.exe HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\...\Run: [PriceMeterW] => "C:\Users\Ewa\AppData\Local\PriceMeter\pricemeterw.exe" HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.871\jsdrv.exe HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\...\Run: [GoobzoYouTubeAccelerator] => "C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe" /startup AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\PROGRA~2\SupTab\SEARCH~2.DLL File Not Found AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => "C:\PROGRA~2\SupTab\SEARCH~1.DLL" File Not Found BootExecute: autocheck autochk * HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140906 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140906 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400312599&from=cor&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400312599&from=cor&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400312599&from=cor&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400312599&from=cor&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms} HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402600598&from=wpm0612&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms} HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140906 HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://vaioportal.sony.eu HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://vaioportal.sony.eu HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402600598&from=wpm0612&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=157&itype=a&ver=12791&tm=372&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=157&itype=a&ver=12791&tm=372&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=157&itype=a&ver=12791&tm=372&src=ds&p={searchTerms} BHO: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll No File BHO: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho64.dll No File BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll No File BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll No File BHO-x32: VeriBrowse -> {04D383F6-41EB-7C53-2985-B56EF7EFED2E} -> C:\Program Files (x86)\VeriBrowse-soft\170.dll () BHO-x32: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll No File BHO-x32: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho.dll No File BHO-x32: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll No File BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll No File Toolbar: HKU\S-1-5-21-2479230823-2040690117-1165275600-1001 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File Toolbar: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402600598&from=wpm0612&uid=HitachiXHTS727550A9E364_120828J3300080H93UMAX CustomCLSID: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Ewa\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File FF Plugin-x32: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=3 -> C:\Program Files (x86)\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=9 -> C:\Program Files (x86)\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\qone8.xml FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\zx1k2kg9.default\extensions\quick_start@gmail.com FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\...\Firefox\Extensions: [{4CB72F0B-E81D-608B-FC79-DF5F250B0E83}] - C:\Program Files (x86)\VeriBrowse-soft\170.xpi CHR StartupUrls: Default -> "www.wp.pl/?src01=dp220140906", "https://www.google.pl/" CHR HKLM-x32\...\Chrome\Extension: [ainbkicbloikcngphmjfpjdemblcojdd] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\slidebar.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [fdjkhamgopgokjmllcmpkiijndjeidcl] - C:\Users\Ewa\AppData\Local\Temp\twsfiles\trustedshopper.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [fjbbjfdilbioabojmcplalojlmdngbjl] - C:\Users\Ewa\AppData\Local\Temp\swlfiles\smileyswelovetoolbar.crx [2014-03-29] CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [Not Found] C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\CinPl2.3c C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\iWebar C:\Program Files (x86)\Java C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\PriceMeterLiveUpdate C:\Program Files (x86)\Sense C:\Program Files (x86)\VeriBrowse-soft C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\*.tmp C:\ProgramData\UpdaterLog.txt C:\ProgramData\ShopperPro C:\ProgramData\Temp C:\ProgramData\YTAHelper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator\ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Ewa\AppData\Local\PriceMeter C:\Users\Ewa\AppData\Roaming\JCWLUB C:\Users\Ewa\AppData\Roaming\SGDVIPS C:\Users\Ewa\AppData\Roaming\systweak C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceMeter C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks551 C:\Users\Ewa\Desktop\Thumbs.db C:\Users\Ewa\Desktop\Artur\Artur\Baldur's Gate.lnk C:\Users\Ewa\Desktop\Artur\dARIA\Daria\*.lnk C:\Users\Ewa\Downloads\EvercareExpert*.exe C:\Users\Ewa\Downloads\Niepotwierdzony*.crdownload C:\Users\Ewa\Downloads\Thumbs.db C:\Users\Ewa\Downloads\UnityWebPlayer*.exe C:\Users\Ewa\Downloads\UserConfig*.txt C:\Users\UpdatusUser\Desktop\EVEREST Corporate Edition.lnk C:\Windows\System32\Tasks\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe CMD: for /d %f in (C:\Users\Ewa\AppData\Local\{*}) do rd /s /q "%f" CMD: netsh winsock reset Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoobzoYouTubeAccelerator /f Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall /f Reg: reg delete "HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Ewa\AppData\Local CMD: dir /a C:\Users\Ewa\AppData\LocalLow CMD: dir /a C:\Users\Ewa\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Sense, szczątek Kaspersky Protection oraz wszelkie inne podejrzane nierozpoznane obiekty. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (ręcznie aktywuj używane). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Wszystko zrobione, z wyjątkiem akcji w Operze - ja nadal widzę tam adware HDtubeV1.6V09.02, nie widzisz tego na liście? I poprawki: 1. Otwórz Notatnik i wklej w nim: OPR Extension: (HDtubeV1.6V09.02) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\ofaemmlijemfcopjandkcndefpnacabg [2015-02-09] C:\Users\User\AppData\LocalLow\smileyswelove C:\Users\User\AppData\Roaming\Carambis Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Nadal widzę pozycję "Windows Live Essentials" na liście zainstalowanych. Czy na pewno nie widzisz jej? Jeśli nie, to uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy ze spoilera (uwzględniam też ukryte) > Dalej. Skan SFC nie był w stanie naprawić uszkodzonych plików i jest ich więcej (4 a nie 3). Należy podmienić je poprawnymi nieuszkodzonymi kopiami z mojego komputera, ale to potrwa. Na razie podaj spis lokalizacji plików. Uruchom FRST, w polu Search wklej: accessibilitycpl.dll;bootres.dll;SensorsCpl.dll Klik w Search Files i dostarcz wynikowy log.

Zakładam, że ważne zaszyfrowane pliki zostały przekopiowane poza dysk C, gdyż teraz będzie usuwanie tych artefaktów z C. 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [ApnUpdater] => "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" URLSearchHook: HKU\S-1-5-21-3558287341-2231117270-3972338399-1000 - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File BHO-x32: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File RemoveDirectory: C:\$RECYCLE.BIN RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Symantec Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: del /q /s C:\*bmzhcib* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Będzie gruby. 2. Uruchom Zoek. W oknie wklej: Ask Toolbar;u Winamp Toolbar for Firefox;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Temat przenoszę do działu Windows, nie ma tu co szukać infekcji. Poza tym odbyło się to: Czy po formacie jest za każdym razem instalowany ESET NOD32 Antivirus (potencjalny podejrzany)? Druga sprawa, w tytule jest platforma 8.1, ale raport pokazuje starszą wersję systemu 8. Czy aktualizacja 8.1 została wyzerowana? Czy system kwalifikuje się do tej aktualizacji ponownie? Platform: Windows 8 (X64) OS Language: Polski (Polska) Internet Explorer Version 10 (Default browser: FF) Dodatkowo, Menedżer urządzeń zgłasza zdefektowane urządzenie: ==================== Faulty Device Manager Devices ============= Name: USB-IF xHCI USB Host Controller Description: USB-IF xHCI USB Host Controller Class Guid: {8a2edc79-c759-46f2-88af-9d4efe3b5eee} Manufacturer: Intel Corporation Service: XHCIPort Problem: : This device is not working properly because Windows cannot load the drivers required for this device. (Code 31) Resolution: Update the driver

Zadanie rzeczywiście zostało usunięte. Zaktualizuj sobie Adobe Flash Player 15 Plugin do wersji Adobe Flash Player 16 NPAPI: KLIK. Temat zamykam.

Nie wykonałeś w ogóle punktu 1, bo AdwCleaner znajduje foldery, które przeznaczyłam do usunięcia. Proszę wykonaj i dostarcz wynikowy fixlog.txt.

Jeśli jeszcze nikt nie odpisał, a chcesz uzupełnić post, proszę używaj opcję Edytuj. Skoro nic nie pomaga, to będziemy reinstalować całą przeglądarkę (podam konkretne instrukcje). Ale zanim do tego dojdzie, poproszę jeszcze o zrzuty ekranu z tych miejsc: - W pasku adresów Chrome wklep chrome://plugins i ENTER. Rozwiń Szczegóły i zrób zrzuty ekranu z okna, tak by było widać wszystkie pozycje. - Menu ustawień > Ustawienia > Rozszerzenia > włącz Tryb programisty > zrób zrzuty ekranu, by było widać wszystkie pozycje w oknie - Menu ustawień > Google Chrome - Informacje

Wygląda na to, że folder utracił atrybuty odpowiadające za jego niewidoczność. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę i ENTER: attrib +S +H D:\$RECYCLE.BIN

Niestety Fix na koncie Maciek nie chce się wykonać, tym razem zatrzymał się na zabijaniu procesów. Przejdź w Tryb awaryjny Windows (loguj się na konto Maciek a nie Administratora) i powtórz poprzednią instrukcję.

ComboFix użyty niepotrzebnie, pomijając fakt że nie powinno się go uruchamiać bez przygotowania, nie jest to zbyt dobry program do usuwania adware i nie robi tego poprawnie (brutalne usuięcie składników z dysku). Brakuje trzeciego pliku FRST Shortcut. W Harmonogramie zadań jest reinstalator adware (niejaki "Installer_geforce"), a rozszerzenia adware są w Firefox, Google Chrome i Operze. Do przeprowadzenia następujące akcje: 1. Odinstaluj stare wersje: Java 7 Update 55, Java™ 6 Update 14 (64-bit), Opera 12.12, Opera 12.16, Spelling Dictionaries Support For Adobe Reader 9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {17521219-BB50-44F1-AAF1-02E8ADEB215E} - System32\Tasks\{22E0B2D6-B8CF-4BED-81F3-63995801F595} => pcalua.exe -a C:\Users\Mati\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {44166971-FD6F-4F69-982B-1B983CD06904} - System32\Tasks\{56666DE5-504E-4C5C-B71C-947424A6B04B} => pcalua.exe -a C:\Users\Mati\Desktop\MAMA\SweetIMSetup.exe -d C:\Users\Mati\Desktop\MAMA Task: {86047D17-8709-49E2-AEA8-985F0C41108F} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {91A98AD2-E04E-4EBF-B920-DFAA32011F89} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {95A93EC8-C5E4-422A-B37F-2B3A3F3EADEF} - System32\Tasks\Installer_geforce => C:\Users\Mati\AppData\Local\Installer\Installgeforce_25413\DC1AB16RN52.exe [2015-02-03] () Task: {965C16A0-1BCE-4017-B342-86378754B8ED} - \Program aktualizacji online firmy Sun Microsystems. No Task File Task: {A6119F1E-1734-44E8-A6EE-EA2BAA6D410A} - System32\Tasks\{0A5F2132-00CD-4F0D-AFCE-9CAEBB56D093} => C:\Users\Mati\Desktop\PlayerStubWrapper1.exe Task: {CA2D4C1D-AD67-49FD-92A8-6E96DD5E24AE} - System32\Tasks\{75E1A66D-4B6B-470E-8370-918119D89B9B} => C:\Users\Mati\Desktop\PlayerStubWrapper1.exe Task: {D9C5FEEE-DC90-482A-B5A3-73DEAB80ABA3} - \Program aktualizacji online firmy Adobe. No Task File Task: {E7A4DE7A-93E4-460E-A6CB-DCAE18A6C411} - System32\Tasks\{7E146D51-05F0-4B69-9C27-4F5381DD1639} => C:\Users\Mati\Downloads\MediaPlayerCodecPack_downloader-I9TFEOv29.exe [2014-11-20] () Task: {F43051E7-D4DA-4AF0-BC4B-618680EAC802} - System32\Tasks\{69362541-F355-4BBB-A69F-FFCFE9ED921E} => pcalua.exe -a C:\Users\Mati\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] U4 eabfiltr; No ImagePath ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-268690512-1801084094-390008088-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-268690512-1801084094-390008088-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-268690512-1801084094-390008088-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 BHO: No Name -> {42435041-312D-5637-4300-7A786E7484D7} -> No File BHO: No Name -> {4F524A2D-5637-2D53-4154-7A786E7484D7} -> No File BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CustomCLSID: HKU\S-1-5-21-268690512-1801084094-390008088-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419727105&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WX20C797393873938" CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] FF HKU\S-1-5-21-268690512-1801084094-390008088-1001\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\firefoxext C:\PROGRA~1\COMMON~1\System\SysMenu.dll C:\Program Files (x86)\4f679ba0-3d15-42f9-b2cb-d614b25c5850 C:\Program Files (x86)\955d4b0e-682a-40b0-9436-4eec9afb427b C:\Program Files (x86)\Cyti Web C:\Program Files (x86)\Freemake C:\Program Files (x86)\Liveistream C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\{*}.log C:\ProgramData\wmzddnmb.cix C:\ProgramData\Freemake C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Liveistream C:\rei C:\Users\Mati\AppData\Local\{*} C:\Users\Mati\AppData\Local\BIT*.tmp C:\Users\Mati\AppData\Local\CrashRpt C:\Users\Mati\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Mati\AppData\Local\Installer C:\Users\Mati\AppData\Local\Opera_ C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Liveistream C:\Users\Mati\Downloads\MediaPlayerCodecPack_downloader-I9TFEOv29.exe C:\Users\Mati\Downloads\setup*.exe C:\Users\Mati\Downloads\Installation*.exe C:\Users\Mati\Downloads\ReimageRepair*.exe C:\Windows\system32\ScanResults.xml C:\Windows\system32\ScannerSettings C:\Windows\SysWOW64\DOErrors.log C:\Windows\SysWOW64\ins_ytd.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Cyti Web Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę (najnowsza wersja, a nie stara 12.x): CTRL+SHIFT+E i na liście rozszerzeń odinstaluj GoHD, SavePass 1.1. 6. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt oraz logi używanych narzędzi (C:\ComboFix.txt + te z folderu C:\AdwCleaner).

Na razie nic nie było usuwane z zakresu Positive Finds, bo tego nigdzie nie widać. Skan dostosowany nie wykazuje nic w przeglądarce Chrome. Sprawdź czy ta operacja coś pomoże: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, wszystkie rozszerzenia zostaną wyłączone (te używane do ponownej aktywacji).

SetACL nie przyjął ścieżki z pojedynczym \, ponów próbę z podwójnym: CMD: SetACL -on "D:\\" -ot file -actn setprot -op "dacl:p_nc;sacl:p_nc" -rec cont_obj -actn setowner -ownr "n:Administratorzy" -actn ace -ace "n:Administratorzy;p:full" -ace "n:SYSTEM;p:full" -ace "n:Użytkownicy;p:full" -actn clear -clr "dacl,sacl" -actn rstchldrn -rst "dacl,sacl" ListPermissions: D:\

Nazwy logów wskazują, że wyciągasz je z folderu C:\FRST\Logs - to archiwum logów służące do wyciągania starszych (jeśli potrzebne). Bieżący log jest zawsze w lokalizacji, z której uruchamiano FRST, czyli tu katalog Pobrane. Brakuje trzeciego obowiązkowego raportu FRST Shortcut. W raportach nie widać żadnych obiektów adware w Chrome, co jednak nie wyklucza iż one tam są. Na razie doczyszczenie wpisów szczątkowych oraz pobór dokadniejszych informacje o Google Chrome: 1. Przez Panel sterowania odinstaluj zbędny Adobe Flash (wersja dla Firefox) i stare wersje Java: Adobe Flash Player 16 NPAPI, Java 7 Update 67 (64-bit), Java 7 Update 67, Java 8 Update 25 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File Task: {AEF397EC-97DA-45D8-9B67-B42740227F37} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-2641713718-1750177961-2671272729-1002 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] C:\Users\agata_000\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\agata_000\AppData\Roaming\sp_data.sys C:\Users\agata_000\Downloads\Niepotwierdzony*.crdownload Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type "C:\Users\agata_000\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner

GMER natknął się na nieistniejącą ścieżkę dysku w którymś miejscu rejestru. Jest kilka możliwości. Podobne tematy: KLIK, KLIK. Nie ma się czym przejmować i można sobie odpuścić korekty. W niektórych przypadkach są one nawet niepożądane. Tak, w załącznikach dopuszczam tylko TXT. W instrukcji raportu GMER jest rozmyślnie dobrana opcja Kopiuj a nie bezpośredniego zapisu. Fix FRST wykonany. Teraz: 1. W GMER jest jakiś ukryty moduł "no name". Sprawdź co powie Kaspersky TDSSKiller. 2. Jeśli TDSSKiller nic nie wykryje, zastosuj DelFix. 3. Na wszelki wypadek przeskanowałabym ponownie dyski jakimś antywirusem. 4. W związku z tym, iż Ramnit może wyciągać dane z systemu, prewencyjnie pozmieniaj wszędzie loginy.

"Kontroler Uniwersalnej magistrali szeregowej (USB)" - podaj model komputera. Dodatkowa uwaga ogólna, system nie jest też w ogóle zaktualizowany, golusieński Windows 7 bez SP1 i reszty majdanu: Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: Chrome) PS. W spoilerze doczyszczanie wpisów pustych, lokalizacji tymczasowych oraz likwidacja poniższych błędów z Dziennika: System errors: ============= Error: (02/11/2015 08:13:08 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa Google Update (gupdate) z powodu następującego błędu: %%2 Error: (02/11/2015 07:55:56 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: %%1068

Kolejna porcja działań: 1. Odinstalowałeś parę pozycji związanych z Windows Live Essentials, ale nie główny program. Zostawiłeś, bo używasz, czy ta pozycja przepadkowo ominięta? Jeśli to przypadek, to jeszcze to odinstaluj. 2. W raporcie są notowane zerobajtowe (czyli uszkodzone) pliki Windows: Some zero byte size files/folders: ========================== C:\Windows\SysWOW64\SensorsCpl.dll C:\Windows\System32\bootres.dll C:\Windows\System32\SensorsCpl.dll Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S1 AIP; C:\Windows\SysWOW64\drivers\aip.sys [51200 2014-06-16] () [File not signed] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\Program Files (x86)\CyberLink C:\ProgramData\AVAST Software C:\ProgramData\CyberLink C:\Users\Default\AppData\Roaming\AVAST Software C:\Users\Default User\AppData\Roaming\AVAST Software C:\Users\Eryk\AppData\Local\uninst.tmp C:\Windows\SysWOW64\drivers\aip.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer" /f CMD: dir /a C:\Users CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt. Czyli problem z pingiem nadal występuje po usunięciu Trend Micro? Jeśli tak, to po dokończeniu tu wątków czyszczenia i naprawy systemu załóż nowy temat w dziale Sieci podając dane wymagane działem: KLIK. Omiń raporty z FRST, bo są już tutaj i zlinkuj do tego tematu, by było wiadome co już zrobiono. Kto inny będzie się prawdopodobnie tym zajmował, to nie jest moja działka. To na szarym końcu.

Jedziemy dalej: 1. Nadal widzę na liście archaiczny Mozilla Firefox 4.0.1 (x86 de) - czy jest jakiś problem z jego deinstalacją? Proszę odinstaluj go, jest całkowicie zaśmiecony adware, a tak stary, że nie opłaca się go czyścić. Ten krok musi być jako pierwszy, gdyż poniżej w skrypcie polecą wszystkie klucze i foldery Firefox. 2. Pobierz najnowszą wersję FRST (z dzisiaj) z przyklejonego: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3B7C614F-B769-4346-B2C8-91B9E4168FDF} - System32\Tasks\ISFYHFAU => C:\ProgramData\a47887a3756b4d95a8aa4868e99416bd\a47887a3756b4d95a8aa4868e99416bd.exe Task: {5FA968B4-B1BF-41A4-A117-3BFECA39C4F8} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-5 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-5.exe Task: {61C05FFB-88CA-41C1-AA28-974146D7F80E} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-09] (globalUpdate) Task: {61CEFD8B-EE35-4F6C-9F9A-67C6F2CC8099} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-11 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-11.exe Task: {691A41AC-A758-407E-8CD0-26DD2BBC732A} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-4 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-4.exe Task: {799F5883-9E77-4C46-B712-DA50B1B2526B} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {8D58BEF3-7C51-460B-97CF-C0D9A45D855C} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-6 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-6.exe Task: {9817BD9D-6952-4F21-98CE-38BC1BEBC7B2} - System32\Tasks\GAFOM => C:\Users\User\AppData\Roaming\GAFOM.exe Task: {9D748169-C0BD-4043-BFA9-6C3972250BFA} - System32\Tasks\OMSJT => C:\Users\User\AppData\Roaming\OMSJT.exe Task: {9D759583-D093-4D62-8787-AA5A33B65F8F} - \ASUS\i-Setup042718 No Task File Task: {B2B16347-B26E-4F47-8718-13A9C5BABCAB} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-09] (globalUpdate) Task: {B3286CF6-0675-448A-8ED2-B86A740873C1} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-1-7 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-1-7.exe Task: {BB8D0E82-5410-4E1C-AEDA-57B44E3E6E99} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {BE1EFF0C-F4AD-4FF3-B4E0-44E50482D72C} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-5_user => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-5.exe Task: {DCAE62A9-08A7-459E-A50E-6665E6328A8C} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {E85FFFAF-A8D9-4E5E-88E2-9D28439BFB93} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-7 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-7.exe Task: {EF9EC2F6-664D-4382-82A9-D7CEFC6FD85E} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {F8BA7363-7EF9-4C23-8836-34AE10F171A6} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-1-6 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-1-6.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-1-6.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-1-6.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-1-7.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-1-7.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-11.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-11.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-4.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-4.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-5.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-5.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-5_user.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-5.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-6.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-6.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-7.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-7.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\GAFOM.job => C:\Users\User\AppData\Roaming\GAFOM.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\OMSJT.job => C:\Users\User\AppData\Roaming\OMSJT.exe R2 be0fb33b; c:\Program Files (x86)\Supporter\Supporter.dll [4214272 2015-02-09] () [File not signed] S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-09] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-09] (globalUpdate) [File not signed] R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 Update Techgile; C:\Program Files (x86)\Techgile\updateTechgile.exe [397552 2015-02-10] () [File not signed] R2 Util Techgile; C:\Program Files (x86)\Techgile\bin\utilTechgile.exe [397552 2015-02-10] () [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-09] () [File not signed] R2 wpsvc_1.10.0.6; C:\Program Files (x86)\WordProser_1.10.0.6\Service\wpsvc.exe [277584 2015-01-07] () [File not signed] S2 FlashBeat; C:\ProgramData\FlashBeat\FlashBeat.exe -p "Installium" -c "Installium_Default" -s "PP1" -i "2241879" -g "" [X] S1 wpnfd_1_10_0_6; system32\drivers\wpnfd_1_10_0_6.sys [X] S1 {ab46f924-b0f6-4def-a8e6-edf07f1475f2}Gw64; system32\drivers\{ab46f924-b0f6-4def-a8e6-edf07f1475f2}Gw64.sys [X] HKLM\...\Run: [VIAxHCUtl] => C:\Program Files\VIA XHCI UASP Utility\usb3Monitor HKLM-x32\...\Run: [mbot_de_495] => "C:\Program Files (x86)\mbot_de_495\mbot_de_495.exe" HKLM-x32\...\Run: [gmsd_de_187] => C:\Program Files (x86)\gmsd_de_187\gmsd_de_187.exe [3979408 2015-02-07] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hppp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hppp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=dspp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=dspp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=dspp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.better-search.net/?i=53&st=29&src=58&q={searchTerms}&did=11521&ppd=1434,148123,20N9RD1CYufCXkXp1xXpdx1ykKPX000.,,,,spgc-de,,,player.all4search.net&barid=1523567331607694762&terminator=1_sp_ie SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://istart.webssearches.com/web/?utm_source=b&utm_medium=pjr&utm_campaign=install_ie&utm_content=ds&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423475596&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://istart.webssearches.com/web/?utm_source=b&utm_medium=pjr&utm_campaign=install_ie&utm_content=ds&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423475596&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=dspp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://istart.webssearches.com/web/?utm_source=b&utm_medium=pjr&utm_campaign=install_ie&utm_content=ds&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423475596&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 C:\Media Player Classic Home Cinema 32 Bit - CHIP-Installer.exe C:\Program Files (x86)\1ccf7e49-18ed-45cd-8dc4-cb64222cf72f C:\Program Files (x86)\AnyProtectEx C:\Program Files (x86)\Facebook Social Plugin C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\gmsd_de_187 C:\Program Files (x86)\Google C:\Program Files (x86)\HDtubeV1.6V09.02 C:\Program Files (x86)\IGS C:\Program Files (x86)\mbot_de_495 C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\Supporter C:\Program Files (x86)\Techgile C:\Program Files (x86)\WordProser_1.10.0.6 C:\Program Files (x86)\XTab C:\Program Files (x86)\youtubeadblocker C:\ProgramData\mtbjfghn.xbe C:\ProgramData\11074247383972342202 C:\ProgramData\2db5390800000427 C:\ProgramData\41d6815900005912 C:\ProgramData\a47887a3756b4d95a8aa4868e99416bd C:\ProgramData\dxVxGuHPl C:\ProgramData\eeanojfhjfblikcbfbeacbakaehjjeko C:\ProgramData\FlashBeat C:\ProgramData\FlashBeatData C:\ProgramData\HealthAlert C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\ProgramData\Mozilla C:\ProgramData\WindowsMangerProtect C:\Users\User\AppData\Local\ConvertAd C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Local\globalUpdate C:\Users\User\AppData\Local\gmsd_de_187 C:\Users\User\AppData\Local\HealthAlert C:\Users\User\AppData\Local\igs C:\Users\User\AppData\Local\mbot_de_495 C:\Users\User\AppData\Local\Mozilla C:\Users\User\AppData\Local\SmartWeb C:\Users\User\AppData\Local\wincheck C:\Users\User\AppData\Roaming\CrashDump__20150209_095439.dmp C:\Users\User\AppData\Roaming\AnyProtectEx C:\Users\User\AppData\Roaming\ASPackage C:\Users\User\AppData\Roaming\Mozilla C:\Users\User\AppData\Roaming\smileyswelove C:\Users\User\Downloads\setup*.exe C:\Users\User\Downloads\SweetPlayer_TSA1X4DXH.exe C:\Users\User\Documents\APNSetup.exe C:\Users\User\Documents\Optimizer Pro C:\Windows\patsearch.bin C:\Windows\system32\ColorMedia64.dll C:\Windows\system32\ColorMediaOff.ini C:\Windows\system32\Drivers\Msft_Kernel_webTinst_01009.Wdf C:\Windows\SysWOW64\ColorMedia.ini C:\Windows\SysWOW64\ColorMediaOff.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{be0fb33b} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: sc config WinDefend start= demand CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Operę z adware: z klawiatury CTRL+SHIFT+E i w Rozszerzeniach odinstaluj HDtubeV1.6V09.02. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.