picasso

Wręcz przeciwnie - zagląda. Wiem co mam nieskończone. Jest więcej tematów, które mam do zrobienia, nie tylko Twój. Priorytet mają tematy z czynną infekcją, tu została już dawno usunięta i sprawa jest zakończona. Dlatego odpowiedź odkładałam. Skasuj raport C:\Delfix.txt. Owszem, wcześniej w logu było to: ==================== Drivers (Whitelisted) ==================== S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Posiadasz DAEMON Tools Lite: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DAEMON Tools Lite.lnk -> C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\Uninstall.lnk -> C:\Program Files (x86)\DAEMON Tools Lite\uninst.exe (DT Soft Ltd.) On jednak powinien korzystać z innego sterownika a nie SPTD (lecz takowego tu nie było): R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [232512 2011-10-29] (DT Soft Ltd) Reinstalacja DAEMONa jako takiego jest niemożliwa (błąd "naruszenia integralności")?

Proszę o przesłanie oryginalnego pliku Data.reg. Nawiasem mówiąc w tym pliku są 3 linie (nie licząc nagłówka). Ja wiem co w nim jest, ale nie o to tu chodzi. To jest plik dla autora FRST pod kątem bugu wyświetlania wpisów w skanie FRST (pomieszanie ścieżek): HKU\S-1-5-21-2378617245-656913824-2786090956-1002\...\Run: [COLS] => C:\Program Files (x86)\Comarch\Comarch ERP Menad HKU\S-1-5-21-2378617245-656913824-2786090956-1002\...\Run: [YTDownloader] => er Kluczy\ComarchMLTray.exe Jeśli chodzi o AdwCleaner, to mowa o tym że wcześniej się nie uruchamiał, czy może próbowałeś go uruchomić ponownie już teraz?

Usuń folder FRST z Pulpitu. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj najnowszą wtyczkę Adobe Flash dla Firefox: KLIK.

1. Przez Panel sterowania odinstaluj adware Click Caption 1.10.0.5, omiga-plus uninstall oraz starą wersję Adobe Flash Player 15 ActiveX. Sugeruję też pozbyć się Hotspot Shield 3.42. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS&q={searchTerms} FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\mzl5xuun.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://isearch.omiga-plus.com/?type=sc&ts=1419886090&from=cor&uid=TOSHIBAXMK6475GSX_Y199FKJASXXY199FKJAS Task: {A603E002-438D-4D5C-8ABC-B97081938D25} - System32\Tasks\{189DCC04-9A31-40C4-A868-DA1AE6B47940} => pcalua.exe -a C:\Users\user\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor S3 netr28ux; system32\DRIVERS\netr28ux.sys [X] C:\ProgramData\APN C:\ProgramData\WindowsMangerProtect C:\Users\user\AppData\Roaming\IHlpr C:\Users\user\AppData\Roaming\OpenCandy C:\Users\user\AppData\Roaming\WebTest Folder: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

DelFix jest tylko narzędziem do usuwania używanych narzędzi i logów (tu: FRST, OTL, USBFix). To nie jest program czyszczący "syf". Pozostałe akcje to: włączenie UAC (owszem tu jest wyłączone), stworzenie kopii rejestru (robił to na początku FRST, obecnie nie jest potrzebne), czyszczenie folderów Przywracania systemu (zadane z osobna do przeprowadzenia w opcjach Windows), reset ustawień systemu (tu zbędne). Skasuj raport C:\Delfix.txt z dysku. Koniec akcji.

Tematy łączę razem. W raportach nic nie ma nowego / szkodliwego. COMODO jest jak najbardziej podejrzany.

Tak jest. Na tym komputerze te same kroki końcowe co poprzednio, tzn. deinstalacja USBFix, zastosowanie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Czy notujesz w systemie jeszcze jakieś problemy? Wszystko zrobione. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: C:\Program Files\Common Files\System\SysMenu.dll C:\Program Files\Common Files\System\SysMenu64.dll C:\Users\ADMIN\AppData\Roaming\LIZ C:\Users\ADMIN\AppData\Roaming\WXITZAAW C:\Users\ADMIN\Downloads\DriversDownloader_for_Audio_Realtek_6.0.1.5648_Vistax64Vistax86XPx86XPx64_A.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\InstallMate RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Users\ADMIN\AppData\Local\ESET RemoveDirectory: C:\Users\ADMIN\AppData\LocalLow\Sun RemoveDirectory: C:\Users\ADMIN\AppData\LocalLow\Temp RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\FileAdvisor RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\Oracle RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\vxpiwcqi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Oba pendrive są zarażone. Akcja przy podpiętych urządzeniach: Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\DLLSuite C:\Program Files (x86)\DllTool C:\Users\Kamilo\AppData\Roaming\Solvusoft C:\Users\Kamilo\Downloads\Niepotwierdzony*.crdownload C:\Windows\system32\roboot64.exe L:\Chrome.VBE L:\*.LNK M:\Chrome.VBE M:\*.LNK CMD: attrib /d /s -s -h L:\* CMD: attrib /d /s -s -h M:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Zrób też nowy log USBFix z opcji Listing.

Detekcja AVG raczej z czapy. Podałeś mi niekompletny zestaw raportów FRST - log główny jest niekompletny (urwany w połowie), brakuje też plików Addition i Shortcut.

1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Reg: reg export HKU\S-1-5-21-2378617245-656913824-2786090956-1002\Software\Microsoft\Windows\CurrentVersion\Run C:\Users\Dorota\Desktop\Data.reg Reg: reg delete HKU\S-1-5-21-2378617245-656913824-2786090956-1002\Software\Microsoft\Windows\CurrentVersion\Run /v YTDownloader /f Reg: reg delete HKU\S-1-5-21-2378617245-656913824-2786090956-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\ProgramData\Interenet Optimizer\InterenetOptimizer_x64.dll [4302848 2014-12-22] () AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => c:\ProgramData\Interenet Optimizer\InterenetOptimizer.dll [4125696 2014-12-22] () R2 0c632643; c:\ProgramData\Interenet Optimizer\InterenetOptimizerSvc.dll [186192 2014-12-22] () [File not signed] S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT Task: {09F4B79F-843A-43EA-8D61-004CEDBDB659} - System32\Tasks\temp_bc3e5259-216b-45ab-922d-6380dea9f0d0 => C:\Program Files (x86)\SavePass 1.1\bc3e5259-216b-45ab-922d-6380dea9f0d0.exe Task: {1F7114AD-DAE0-4584-B5F8-A4CA8E2BC1CB} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe Task: {56EC836D-29C9-48F5-B7BC-D60C5219F104} - System32\Tasks\c4ee5b1a-1af4-417e-ba9b-d27e3d161669-5 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV04.12\c4ee5b1a-1af4-417e-ba9b-d27e3d161669-5.exe Task: {5705A719-EFEA-4186-8038-AE00E7B35CD3} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {5E9EEB7F-00B1-402A-B9E6-FB96E2F6ABC3} - System32\Tasks\temp_834b55ac-b156-431b-82d5-8cc6e64aff40-6 => C:\Program Files (x86)\Ge-Force\834b55ac-b156-431b-82d5-8cc6e64aff40-6.exe Task: {7FA04BC2-174C-49C8-90A3-1E7C91240E5B} - System32\Tasks\IEAS => C:\Users\Dorota\AppData\Roaming\IEAS.exe [2014-12-04] (HQ-VideoV04.12) Task: C:\Windows\Tasks\IEAS.job => C:\Users\Dorota\AppData\Roaming\IEAS.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank URLSearchHook: [s-1-5-80-3631717307-324266910-25194906-1518848185-2876795746] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2378617245-656913824-2786090956-1002 -> DefaultScope {750595C3-82FD-4414-8B2F-41EBE433C421} URL = SearchScopes: HKU\S-1-5-21-2378617245-656913824-2786090956-1002 -> {750595C3-82FD-4414-8B2F-41EBE433C421} URL = BHO: less2pAy -> {6438e6ff-c799-4607-af05-a8155e696e6e} -> C:\ProgramData\less2pAy\61cXaYIUS06V6A.x64.dll No File BHO-x32: less2pAy -> {6438e6ff-c799-4607-af05-a8155e696e6e} -> C:\ProgramData\less2pAy\61cXaYIUS06V6A.dll No File C:\Program Files (x86)\Google C:\Program Files (x86)\less2puaY C:\Program Files (x86)\sAverebaoux C:\ProgramData\600440862 C:\ProgramData\c82e9b7b5d464324 C:\ProgramData\dbdbgdmpclfpihhabnjkfipidhjldnik C:\ProgramData\sAverebaoux C:\ProgramData\Temp C:\Users\Dorota\AppData\Local\Google C:\Users\Dorota\AppData\Roaming\OpenCandy C:\Users\Dorota\Downloads\Niepotwierdzony*.crdownload C:\Users\Dorota\Downloads\yet_another_cleaner_*.exe Folder: C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Interenet Optimizer. 3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był uruchamiany). Poza tym, na Pulpicie powstał plik Data.reg - shostuj gdzieś i podaj do niego link. PS. Pamiętam o poprzednim temacie. Po prostu nie mam czasu się nim zająć.

1. Odinstaluj programy Adobe Flash Player 15 Plugin, DLL Suite 2013, DllTool 1.0, WinThruster. Takimi programami do "naprawy błędów DLL" można sobie tylko pogorszyć stan systemu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamilo\AppData\Local\Temp\Chrome.VBE" HKU\S-1-5-21-1256599488-1644380691-1454373047-1000\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamilo\AppData\Local\Temp\Chrome.VBE" Startup: C:\Users\Kamilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.VBE () BHO-x32: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No File S2 HPSLPSVC; C:\Users\Kamilo\Desktop\hppiw\hpslpsvc64.dll [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing przy popiętym pendrive. Dołącz też plik fixlog.txt.

Skoro odinstalowałaś KB3004394, to Przywracanie systemu było niepotrzebne. Podałam akcję z Przywracaniem, jeśli ta łata byłaby niewidoczna jako zainstalowana. W każdym razie problem uszkodzenia Usług kryptograficznych rozwiązany. Możemy zabrać się za usuwanie adware. Skoro było Przywracanie systemu, potrzebuję też pliki FRST Addition + Shortcut, gdyż poprzednie mają nieaktualne dane.

Multum instalacji adware. Próbując rozwiązać problem instalowałeś w międzyczasie wątpliwy program YAC (Yet Another Cleaner). Dodatkowo, zastanawia mnie ten drugi adres IP pobierany z routera - to OpenDNS. Czy takowy był ustawiany celowo? Tcpip\Parameters: [DhcpNameServer] 81.162.208.2 208.67.222.222 Działania wstępne pod kątem adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2015-01-06] (ShopperPro) S2 AddonsHelper; C:\Users\Niiesmiertelny\AppData\Local\Temp\OCS\Downloads\9f8cc62c3640bf6eb115b4c78bb22a3f\8a2438a7aa1e858526caff1f4deab159\AddonsHelper.exe [X] R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41856 2015-01-06] () R2 SPDRIVER_1463.0.0.0; C:\Program Files (x86)\ShopperPro\JSDriver\1463.0.0.0\jsdrv.sys [52584 2015-01-06] () S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1463.0.0.0\jsdrv.exe [3224576 2015-01-06] () HKU\S-1-5-21-2955672183-3658250396-1376213474-1001\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1463.0.0.0\jsdrv.exe [3224576 2015-01-06] () Task: {01226C22-118D-4991-82B8-88293021E608} - System32\Tasks\{54E296FB-613E-4618-B122-53F0764825C7} => pcalua.exe -a I:\Directx\dxsetup.exe -d I:\ Task: {1C15D103-49C6-4B1A-8A2A-AAE46BE2CB8A} - System32\Tasks\{05ACB4DD-3A09-4323-BA75-C25309A03039} => pcalua.exe -a H:\setup-top_netinfo.exe -d H:\ Task: {22783CC4-3E00-4B6D-91D9-B7A452209111} - System32\Tasks\{11C605A1-1E66-4337-AC84-02DD051600C0} => pcalua.exe -a "C:\Program Files (x86)\Mobile Partner\Driver\DriverSetup.exe" -d "C:\Program Files (x86)\Mobile Partner\Driver" Task: {2A0039D4-9DC9-4D6A-B170-2BD366B61A5A} - System32\Tasks\Installer_sense => C:\Users\Niiesmiertelny\AppData\Local\Installer\Installsense_7912\ins_postInst.exe [2015-01-08] () Task: {3815A207-5866-4C99-A3A8-8201D6239239} - System32\Tasks\{7062D436-B5D5-49D6-BFE9-24831605484E} => pcalua.exe -a C:\Users\Niiesmiertelny\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {442C58A0-A590-48AA-9BEF-D372A446C40A} - System32\Tasks\{0E437703-A890-4DF1-9FB5-FD6D9FB82329} => Firefox.exe http://ui.skype.com/ui/0/7.0.59.100/pl/abandoninstall?page=tsMain Task: {54BCFE45-2E7C-41CA-A603-A140C6B9FB1A} - System32\Tasks\{8995D2B1-DC7B-4543-BEF8-8AFD0586814D} => Firefox.exe http://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {5B147C41-A47A-4D66-8832-9612BD6F45C1} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe Task: {6E10A0A2-8E06-4E03-8198-5DEEB1D6BF1A} - System32\Tasks\{376FB0AB-6D50-49C1-ADCF-FB1452970C2F} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {753BFED2-9242-4213-B150-288A92E06516} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2015-01-06] (Goobzo) Task: {925718C6-0B5C-415D-8667-A44BCB01DE66} - System32\Tasks\{0027B74B-AEA6-4A3E-821C-A284620D0F12} => pcalua.exe -a C:\Users\Niiesmiertelny\Downloads\VGA_nVidia_WIN7_32_815118619\setup.exe -d C:\Users\Niiesmiertelny\Downloads\VGA_nVidia_WIN7_32_815118619 Task: {932D7CE4-C936-4937-B8C0-5D22DDFAF9B2} - System32\Tasks\{366E04DE-6923-46B0-A1BF-365621BE6D02} => pcalua.exe -a G:\InstellBluetooth.exe -d G:\ Task: {9C4CA337-254B-4FA0-84AD-5A2A707CAC5D} - System32\Tasks\SPBIW_UpdateTask_Time_313732363537393832392d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {C51A485C-2A49-4FB3-BB2C-697CDF4C7796} - System32\Tasks\Installer_iwebar => C:\Users\Niiesmiertelny\AppData\Local\Installer\Installiwebar_12661\ins_postInst.exe [2015-01-08] () Task: {CCC2C849-CE8F-4463-B3F8-E4957ABF7285} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2015-01-06] (Goobzo LTD) Task: {D090263A-23D6-4FA2-803C-561EC19A3C1C} - System32\Tasks\{BB30B820-0605-4C2A-BC2B-31692E3AA327} => pcalua.exe -a "H:\need for speed most wanted\NFSMW\eauninstall.exe" -d "H:\need for speed most wanted\NFSMW" Task: {EB983D28-8B18-492B-9278-E871994F6FAC} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1463.0.0.0\jsdrv.exe [2015-01-06] () Task: {F16D1B45-0916-4E9D-B3C8-AB1AC3D895C4} - System32\Tasks\{AAC21D45-3A43-4F18-908D-7FCA635EDA6B} => pcalua.exe -a C:\Users\Niiesmiertelny\Downloads\BluetoothDriverInstaller.exe -d C:\Users\Niiesmiertelny\Downloads HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417797528&from=cor&uid=3219913727_67194_FC9C0241&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417797528&from=cor&uid=3219913727_67194_FC9C0241&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417797528&from=cor&uid=3219913727_67194_FC9C0241&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417797528&from=cor&uid=3219913727_67194_FC9C0241&q={searchTerms} SearchScopes: HKLM-x32 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms} SearchScopes: HKU\S-1-5-21-2955672183-3658250396-1376213474-1001 -> DefaultScope {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms} SearchScopes: HKU\S-1-5-21-2955672183-3658250396-1376213474-1001 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms} BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO-x32: No Name -> {9B6B03F1-16CF-4491-BBBB-E872802DD717} -> No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF HKLM-x32\...\Firefox\Extensions: [dnshelp@dnshelp.com] - C:\Users\Niiesmiertelny\AppData\Roaming\Helper C:\Program Files (x86)\MiPony C:\ProgramData\DNSErrorHelper C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype Password C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Techland C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winmail Opener C:\Users\Niiesmiertelny\AppData\Local\Installer C:\Users\Niiesmiertelny\AppData\Roaming\*.exe C:\Users\Niiesmiertelny\AppData\Roaming\DigitalSite C:\Users\Niiesmiertelny\AppData\Roaming\Gameo C:\Users\Niiesmiertelny\AppData\Roaming\GoforFiles C:\Users\Niiesmiertelny\AppData\Roaming\GoldenGate C:\Users\Niiesmiertelny\AppData\Roaming\Helper C:\Users\Niiesmiertelny\AppData\Roaming\Mipony C:\Users\Niiesmiertelny\AppData\Roaming\NCdownloader C:\Users\Niiesmiertelny\AppData\Roaming\NetMeter C:\Users\Niiesmiertelny\AppData\Roaming\OpenCandy C:\Users\Niiesmiertelny\AppData\Roaming\Opera Software C:\Users\Niiesmiertelny\AppData\Roaming\SmartBluetoothMarketing C:\Users\Niiesmiertelny\AppData\Roaming\WebTest C:\Users\Niiesmiertelny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\Niiesmiertelny\Downloads\yet_another_cleaner_sk_15627.exe C:\Users\Niiesmiertelny\Downloads\Real_Alternative_202_Lite.exe C:\Users\Public\Documents\ShopperPro C:\Windows\system32\log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\Users\Niiesmiertelny\AppData\Local CMD: dir /a C:\Users\Niiesmiertelny\AppData\LocalLow Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Shopper-Pro i stare wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 51 (64-bit), Java 7 Update 60 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock-Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba) Farbar Service Scanner (FSS) Platforma: Windows XP do Windows 11 32-bit i 64-bit Strona domowa Pobierz Farbar Service Scanner (FSS) - Narzędzie pomocnicze umożliwiające wytypowanie usterki po ingerencji malware, diagnozujące podstawowe usługi Windows związane z operacjami sieciowymi oraz wbudowanymi zabezpieczeniami systemu. Narzędzie prowadzi skan pod kątem funkcji: Centrum zabezpieczeń / Centrum akcji, Przywracanie systemu, Windows Defender, Windows Update, Zapora systemu Windows, Usługi sieciowe. Automatyczny skan jest podstawowy, weryfikuje tylko określone aspekty usług, nie jest pokazywany pełny eksport danego klucza ani uprawnienia. Diagnostyka detaliczna musi się odbyć już innymi metodami. FSS oferuje także skanowanie na życzenie w poszukiwaniu kopii brakujących plików lub eksport określonej usługi z rejestru. Te działania leżą już w gestii moderatora prowadzącego temat. INSTRUKCJA URUCHOMIENIA: 1. Pobrany plik uruchamiany przez dwuklik: Na systemach Vista i nowszych wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Otworzy się główny interfejs. Domyślnie jest zaznaczona tylko pozycja "Internet Services", należy zaznaczyć wszystkie: 3. Uruchamiamy opcję Scan. Po ukończeniu skanowania automatycznie otwiera się Notatnik z wynikami. W tym samym katalogu, z którego uruchamiano narzędzie FSS, powstanie log tekstowy FSS.txt.

Zoek Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Pobierz Systemy 64-bit: są obsługiwane, ale Zoek (podobnie jak OTL) jest niestety narzędziem 32-bitowym, co oznacza określone ograniczenia i stosowanie okrężnych trików typu alias Sysnative, by pobrać informacje stricte 64-bitowe. Kolejną wadą jest zapisanie raportów wynikowych w kodowaniu ANSI (a nie UTF-8), co w przypadku specjalnych znaków Unicode oznacza ich utratę. Program nie jest już rozwijany. Zoek (holenderskie "Szukaj") - narzędzie autorstwa Smeenk operujące na systemie skryptów umożliwiających skan określonych komponentów oraz wdrożenie automatycznych / dostosowanych fiksów. Narzędzie na forum może być zastosowane do pobrania specyficznych "egzotycznych" informacji, których natywnie nie udostępnia FRST (rejestracje MSI produktu czy skan alternatywnych niszowych przeglądarek opartych na silniku Chromium takich jak COMODO Dragon). Tutorial obsługi narzędzia nie jest publiczny. INSTRUKCJA URUCHOMIENIA: 1. Pobraną aplikację należy uruchomić z dwukliku. Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Pojawi się zasadniczy interfejs programu. Predefiniowane operacje są pod przyciskiem More Options, nie są to jednak wszystkie możliwości narzędzia. Poinstruujemy użytkownika co nas interesuje, co zaznaczyć lub jaki dostosowany skrypt wkleić w oknie. 3. W przypadku uruchomienia określonej procedury Zoek postara się utworzyć punkt Przywracania systemu, wykona zalecenia i finałowo otworzy raport C:\zoek-results.log. W przypadku większej ilości operacji raporty się rozmnożą, starsze są numerowane wg schematu. Dostęp do ostatnio utworzonego raportu pojawia się też w interfejsie narzędzia: Uwaga: załączniki forum nie akceptują plików o rozszerzeniu *.log - należy ręcznie zmienić nazwę na *.txt.

E-Peek Platforma: Windows Vista, Windows 7, Windows 8/8.1 32-bit i 64-bit Wymagania: Windows Installer 3.1 lub nowszy, Microsoft .NET Framework 4 Client Profile lub nowszy, Microsoft SQL Server Compact 3.5 Service Pack 2 (jeśli SQL Server CE 3.5 lub niższy jest zainstalowany) Strona domowa Pobierz Martwa strona domowa. Niestety ze względu na technikę instalacyjną, wymóg czynnego połączenia sieciowego oraz zależności od komponentów zewnętrznych aplikacja ta ma po prostu zbyt duże ograniczenia i w określonych okolicznościach nie spełni zadania / nie uruchomi się. E-Peek - Nowe nieinwazyjne narzędzie diagnostyczne orientowane pod nowoczesne architektury (XP nie jest obsługiwany). Na chwilę obecną jest to narzędzie w typie DDS, tzn. udostępniające tylko skanowanie w trybie tylko do odczytu, brak funkcji usuwających (planowane). Narzędzie ma natywną obsługę platform x64 oraz weryfikację podpisów cyfrowych plików, tak jak FRST. INSTRUKCJA URUCHOMIENIA: 1. Konieczny tryb administracyjny i czynne połączenie sieciowe. Należy zamknąć uruchomione programy zabezpieczające i inne otwarte. Pobrany instalator uruchomić z dwukliku i zatwierdzić dialog UAC. 2. Pojawi się tradycyjny dialog instalacyjny. Na pierwszym ekranie klik w Next: Następnie akceptacja warunków użytkowych poprzez zaznaczenie pola I accept... i klik w Next: Na kolejnym ekranie klik w Install: Rozpocznie się zasadnicza instalacja obrazowana paskiem postępu: Podczas instalacji zachodzą procesy dodatkowe, niektóre mogą spowodować przerwanie działania instalatora. - Narzędzie sprawdza czy jest połączenie z siecią. Jeśli nie, kończy działanie. - Narzędzie sprawdza czy jest uruchomione z poziomu kontekstu konta administracyjnego. Jeśli nie, kończy działanie. - Narzędzie sprawdza czy są zainstalowane komponenty .NET 4 Client Profile i SQL Sever CE 3.5. Jeśli nie, próbuje aplikacje instalować. Narzędzie jest instalowane w folderze C:\Program Files\E Dev\E-Peek (systemy 32-bit) lub C:\Program Files (x86)\E Dev\E-Peek (systemy 64-bit). Na Pulpicie jest tworzony dodatkowy folder E Dev zawierający skróty do uruchomienia programu oraz jego deinstalacji. 3. Jeśli instalacja zakończy się pomyślnie, należy uruchomić stosowny skrót, co otworzy główny interfejs programu. Następnie przejść do karty Options i skonfigurować następująco: Software Installed - pole zaznaczyć. File History - zamienić domyślną liczbę 7 na 30. 4. Klik w przycisk Scan! zainicjuje dodatkowe okno obrazujące postęp zadań: Po ukończeniu skanowania automatycznie jest otwierany log EPeek.txt. Log jest nagrany w katalogu C:\Program Files\E Dev\E-Peek\Logs. Proszę załączyć w poście.

Uruchom Zoek, nie zaznaczaj żadnych opcji, za to w oknie programu wklej komendę: Google Update Helper;u Klik w Run Script i zaprezentuj wynikowy log.

W jaki sposób pobierasz program? Usuń wszystkie dotychczasowe kopie. Przejdź w Tryb awaryjny z obsługą sieci i zacznij pobieranie z tego linka: KLIK.

Skasuj z dysku raport C:\Delfix.txt. Temat rozwiązany. Zamykam.

Pobrany plik jest uszkodzony / niekompletny. Ponawiaj próbę ściągania. jeśli nadal będzie problem, użyj do pobierania innej przeglądarki.

Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: type "C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Zaprezentuj wynikowy fixlog.txt. 2. Napraw uszkodzony skrót IE: Shortcut: C:\Documents and Settings\Agata\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Agata\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice.

Kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.

Problem z cichymi procesami iexplore.exe tworzy ten niepożądany szkodnik przejmujący klasę "Task Bar Communication": CustomCLSID: HKU\S-1-5-21-4169363632-389216348-3168489708-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\ADMIN\AppData\Roaming\tricomfi\tivesen.dll () Ale w systemie jest więcej śmieci. Dodatkowo, widać że pobierałeś z serwisu Komputer Świat, zamiast poprawnych instalatorów "Asystent pobierania" ładujący adware: KLIK. Działania wstępne: 1. Przez Panel sterowaia odinstaluj tricomfi, File Type Advisor 1.4 oraz stare wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 65. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-4169363632-389216348-3168489708-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\ADMIN\AppData\Roaming\tricomfi\tivesen.dll () Task: {2079F2D4-BEF8-4102-B9F4-626ACA429C6D} - System32\Tasks\FileAdvisorCheck => C:\Program Files (x86)\File Type Advisor\file-type-advisor.exe [2013-09-04] (filetypeadvisor.com ) Task: {9A698E1A-6104-4E03-A3D6-62602202E403} - System32\Tasks\LIZ => C:\Users\ADMIN\AppData\Roaming\LIZ.exe Task: {BA015F6C-CFE8-432A-98A8-D945A005D250} - System32\Tasks\WXITZAAW => C:\Users\ADMIN\AppData\Roaming\WXITZAAW.exe Task: {E069D33C-70F2-413E-B75D-C57545AB6376} - \SPBIW_UpdateTask_Time_323435333333363737312d345b413455412a45235a6c6c No Task File Task: {EA04C184-3A65-48EF-9F43-26275B0DE00B} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {EE9A2B25-66C2-4993-A21F-28E05B54A5DE} - System32\Tasks\FileAdvisorUpdate => C:\Program Files (x86)\File Type Advisor\fileadvisor.exe [2013-09-04] (File Type Advisor) Task: {FF84937A-26A2-47E3-8376-D411F6553A51} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: C:\Windows\Tasks\LIZ.job => C:\Users\ADMIN\AppData\Roaming\LIZ.exe Task: C:\Windows\Tasks\WXITZAAW.job => C:\Users\ADMIN\AppData\Roaming\WXITZAAW.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird S2 YTDUpdt; C:\PROGRA~2\YTDOWN~1\YTDUPD~1.EXE [X] S3 cpuz134; \??\C:\Users\ADMIN\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S2 SPDRIVER_1454.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1454.0.0.0\jsdrv.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] C:\Program Files (x86)\0711d11f-90d3-406e-a02a-926cf2c8e3da C:\Program Files (x86)\b04feeea-4f0e-4d40-bebb-7b2fff046cfb C:\Program Files (x86)\pre_installer_pl C:\Users\ADMIN\AppData\Local\GGEmpire C:\Users\ADMIN\AppData\Local\nsaF0FD.tmp C:\Users\ADMIN\AppData\Roaming\ESET C:\Users\ADMIN\AppData\Roaming\gtdaccnp C:\Users\ADMIN\AppData\Roaming\jmfrfemf C:\Users\ADMIN\AppData\Roaming\keljwyem C:\Users\ADMIN\AppData\Roaming\tricomfi C:\Users\ADMIN\AppData\Roaming\ysyvlhzy C:\Users\ADMIN\AppData\Roaming\zjhfyion C:\Users\ADMIN\Desktop\Continue*.lnk C:\Users\ADMIN\Downloads\AdwCleaner*.exe C:\Users\ADMIN\Downloads\FIFA15UltimateTeamHack__11424_il123227.exe C:\Users\ADMIN\Downloads\H3BLADE.EXE C:\Users\ADMIN\Downloads\heroes3*.exe C:\Users\ADMIN\Downloads\Niepotwierdzony*.crdownload C:\Users\ADMIN\Downloads\Odkurzacz 13.4.0.1685.exe C:\Users\ADMIN\Downloads\ReimageRepair.exe C:\Users\ADMIN\Downloads\yet_another_cleaner_sk_108840.exe C:\Windows\system32\log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ADMIN\AppData\Local CMD: dir /a C:\Users\ADMIN\AppData\LocalLow CMD: dir /a C:\Users\ADMIN\AppData\Roaming CMD: dir /a C:\Users\ADMIN\Downloads EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

Random's system information tool (RSIT) Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Wersja dla systemów 32-bit: Wersja dla systemów 64-bit: Wprawdzie program nadal wykazuje oznaki życia (ostatnia wersja z 2017) i ma podstawową zgodność z Windows 10, ale tu zdyskwalifikowany ze względu na używanie przeterminowanego komponentu HijackThis. Systemy 64-bit: fragment raportu pochodzący bezpośrednio z HijackThis dziedziczy oczywiście wadę HijackThis (narzędzie w ogóle nie potrafi pobrać 64-bitowych wejść i podaje sfałszowany widok), ale RSIT dostarcza dodatkowy ekstrakt z rejestru uwzględniający dwoistość budowy, a lista oprogramowania pokazuje zarówno programy 32-bit jak i 64-bit. Narzędzie do tworzenia raportów posługujące się HijackThis, które jednakże posiada rozszerzenia informacyjne wykraczające poza ten program. INSTRUKCJA URUCHOMIENIA: 1. Pobieramy plik pasujący do naszej wersji systemu. Plik uruchamiamy przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Pojawi się ekran ze standardowym zrzeczeniem się odpowiedzialności. Figuruje tutaj opcja decydująca o zakresie czasowym dla wyszukiwania obiektów ostatnio utworzonych bądź zmodyfikowanych. Domyślnie ustawiona na 1 miesiąc i tak proszę to zostawić. Rozpoczęcie skanowania jest egzekwowane po kliku w Continue: 3. Ujawni się małe okno z pasem postępu. W fazie wstępnej narzędzie stara się zlokalizować HijackThis na dysku twardym, a jeśli aplikacja jest nieobecna, podejmuje próbę pobrania z internetu (kopia ląduje w katalogu %ProgramFiles%\trend micro). HijackThis jest uruchamiany tłowo bez żadnych dodatkowych "znaków". Następnie są pobierane kolejne informacje, notowane opisowo nad pasem postępu czym aktualnie zajmuje się RSIT. 4. Po ukończeniu skanowania okno samoczynnie zanika, a narzędzie automatycznie otwiera pliki raportów w Notatniku. W głównym katalogu dysku systemowego jest tworzony folder o nazwie rsit, który zawiera dwa raporty: log.txt (z HijackThis i dodatkowymi uzupełnieniami) oraz info.txt (ze zrzutem MBR, listą zainstalowanych programów, zawartością pliku HOSTS, aplikacjami zarejestrowanymi w Centrum zabezpieczeń, wyciągami z Dziennika zdarzeń i Zmiennymi środowiskowymi). Oba proszę załączyć w poście. Jeśli RSIT uruchomiono więcej niż raz, jest generowany i otwierany tylko log główny, raport dodatkowy z poprzedniego uruchomienia powinien być w w/w katalogu. By ten dodatkowy raport powstał na nowo należy skasować z folderu RSIT plik info.txt lub wywołać RSIT z parametrem /info.