picasso

Wszystko zrobione. Teraz jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Można w miarę możliwości wspomóc mój serwis przez dotacje. Link w mojej sygnaturze.

Problemem są zmodyfikowane serwery DNS Windows, poniższy adres jest rosyjski. Ale w systemie są też inne odpadki adware, w tym fałszywy profil adware podstawiony w Chrome. Tcpip\..\Interfaces\{B9A4709D-CAD1-4D70-A8D2-701D8F79555C}: [NameServer] 188.120.239.115,8.8.8.8 Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{B9A4709D-CAD1-4D70-A8D2-701D8F79555C}: [NameServer] 188.120.239.115,8.8.8.8 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-9055292-1167892610-523672942-1005\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-9055292-1167892610-523672942-1005 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO: Search App by Ask -> {41444150-2D43-322D-4700-7A786E7484D7} -> "C:\Program Files\AskPartnerNetwork\Toolbar\ADAP-C2-G\Passport.dll" => Brak pliku Toolbar: HKLM - Search App by Ask - {41444150-2D43-322D-4700-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\ADAP-C2-G\Passport.dll" Brak pliku HKLM\...\Run: [app] => C:\Program Files\sbqh\uc.exe HKU\S-1-5-21-9055292-1167892610-523672942-1005\...\Run: [svchost0] => C:\Program Files\sbqh\uc.exe HKU\S-1-5-21-9055292-1167892610-523672942-1005\...\Run: [YVZBPWPC77] => "C:\Program Files\DPower\YI85EFO924.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath Task: {276D1BBC-EE53-48D6-A993-0B850CACF29A} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Adrian_) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {3352BBEA-3BE7-454E-ABCD-F8F8229B0EA5} - System32\Tasks\psv_JobTom => /c regedit.exe /s "C:\ProgramData\Quoteex\Superplus.reg" & del "C:\ProgramData\Quoteex\Superplus.reg" & SCHTASKS /Delete /TN "psv_JobTom" /F Task: {907F05C0-2188-44D6-BD66-4C67B4280855} - System32\Tasks\{5048F14A-E7AE-4543-A652-3B5200E80BB0} => pcalua.exe -a "C:\Program Files\EA GAMES\Need for Speed Underground 2\speed2.exe" -d "C:\Program Files\EA GAMES\Need for Speed Underground 2" Task: {957B0DFA-A14E-4C16-B17B-4740E2432128} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-10-18] (AVAST Software) Task: {A66513DC-5CF9-4ED7-8F39-C9ED2F4F813A} - System32\Tasks\psv_Quadflex => /c regedit.exe /s "C:\ProgramData\Quoteex\Zimdubron.reg" & del "C:\ProgramData\Quoteex\Zimdubron.reg" & SCHTASKS /Delete /TN "psv_Quadflex" /F Task: {D19458E6-E2D7-4C59-AB88-113E74138132} - System32\Tasks\Jizergh Launcher => C:\Program Files\Ferqesp\qegph.exe Task: {D4133C22-34C7-487B-871C-100A66112F8B} - System32\Tasks\{86A2A04B-91BD-426B-8845-78DD2BCD2646} => pcalua.exe -a "C:\Program Files\Common Files\Strongcof\uninstall.exe" -c shuz -f "C:\Program Files\Common Files\Strongcof\uninstall.dat" -a uninstallme AFF3C7A7-3361-477E-A838-2B7FE6745842 DeviceId=f7a6bf77-5f56-946d-f24a-4cf0c4d45424 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet Task: {F8B32AA2-8B86-4155-8CE6-24C9DA1C4D23} - System32\Tasks\psv_Stimlux => /c regedit.exe /s "C:\ProgramData\Quoteex\Golden-Lam.reg" & del "C:\ProgramData\Quoteex\Golden-Lam.reg" & SCHTASKS /Delete /TN "psv_Stimlux" /F Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Adrian_).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files\UCBrowser\Application\update_task.exe ShortcutWithArgument: C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DisableService: Mobile Partner. RunOuc C:\Program Files\Ferqesp C:\Program Files\McAfee C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files\Common Files\McAfee C:\ProgramData\AVAST Software C:\ProgramData\McAfee C:\ProgramData\mntemp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Otwórz plik Readme gry Twierdza Krzyżowiec.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Otwórz podręcznik gry Twierdza Krzyżowiec (PDF).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Twierdza Krzyżowiec Extreme HD .lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Twierdza Krzyżowiec HD .lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios\Twierdza Krzyżowiec\Zainstaluj program GameSpy Arcade (Vista SP1).lnk C:\TOSTACK C:\Users\Administrator C:\Users\Adrian\AppData\Local\UCBrowser C:\Users\Adrian\AppData\Local\Ulighthazertion C:\Users\Adrian\AppData\Roaming\*.* C:\Users\Adrian\AppData\Roaming\Clumick C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\Nero TuneItUp.lnk C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\Optymalizacja 1 kliknięciem.lnk C:\Users\Adrian\Desktop\Dokumenty\Adrian - Nikola\True Key.lnk C:\Users\Adrian\Desktop\Muzyka\Wszystko razem\ACDC*skrót.lnk C:\Users\Adrian_ C:\Users\Public\Thunder Network C:\Windows\system32\Drivers\etc\Hosts.old C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Konieczna wymiana całego profilu Google Chrome. Ustawienia > karta Ustawienia > Osoby > na liście powinien być widoczny profil o nazwie user0 i ten należy usunąć, a po tym zamknąć Chrome. Uruchom ponownie przeglądarkę i sprawdź czy po usunięciu profilu pojawił się nowy. Jeśli nie, trzeba go stworzyć ręcznie opcją Dodaj osobę. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń martwy wpis adware Search App by Ask. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

W systemie jest infekcja, ten proces svchost1.exe to trojan uruchamiany z katalogu Temp. Odpala go wpis startowy MicrosoftRunnerService. Przypuszczalnie infekcja nabyta z jednym z cracków / botów do Tibia. Operacje do wdrożenia: 1. W związku z tym, że trudno ustalić który dodatek do Tibia ma zaszytego trojana, usuń wszystko co ostatnio pobrałeś do Tibia. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3268985237-2515974460-3636826075-1001\...\Run: [MicrosoftRunnerService] => C:\Users\FruGo\AppData\Local\Temp\servicecheck.exe [12735488 2016-10-17] () <===== ATTENTION C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Walking Dead Michonne Episode 1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnkhHeart\AnkhBotR2\UELA.lnk C:\Users\FruGo\AppData\Roaming\3909 C:\Users\FruGo\Desktop\The Walking Dead Michonne Episode 1.lnk DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poboczna sprawa to strony startowe adware w Google Chrome. Pod tym kątem: Zresetuj synchronizację (o ile włączona): KLIK. To konieczne, by złe wpisy nie wracały w kółko z serwera Google. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres awesomehp.com 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

By uzyskać wierną listę wszystkich brakujących łat, należy uruchomić Windows Update, a nie szukać ich ręcznie, bo jest tego zastraszająca ilość (kilka lat aktualizacji do nadrobienia). Jako że jest tu kompletnie nieaktualizowany system, jest pewne uproszczenie dostępne, tzn. po instalacji SP1 i IE11 możesz załadować zbiorczy pakiet zawierający większość łat wydanych między SP1 a kwietniem 2016. Czyli montujesz po kolei: KB3020369 + KB3125574. To jednak niestety nie wszystko (np. aktualizacje IE nie są uwzględnione), i tak wymagane będzie uruchomienie po tym Windows Update. EDIT: Microsoft Catalog działa teraz już we wszystkich głównych przeglądarkach, tylko URL jest inny. Podstawiłam go powyżej. Dodałam też łatę wymaganą, by ten zbiorczy pakiet dało się nałożyć.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz wszystkie logi FRST z folderu Pobrane. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. System wymaga gruntownej aktualizacji. Stan obecny: Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome) Brak SP1, IE11 i ogromnej ilości innych łat wydanych między SP1 a dniem dzisiejszym.

Wszystko wygląda dobrze. Jeszcze ostatnia poprawka na szczątki widoczne w nowym FRST.txt. Otwórz Notatnik i wklejw nim: BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1448217005&z=b25c7c69d0c483d491944a6g7z4zebbofg3q6q7q3q&from=cor&uid=SAMSUNGXSP2514N_S08BJ1LP300284 StartBatch: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f del /q C:\Users\rmk\Desktop\GMER.txt del /q C:\Users\rmk\Downloads\i7ib141w.exe del /q C:\Users\rmk\Downloads\adwcleaner*.exe EndBatch: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 2.4 RemoveDirectory: C:\Users\rmk\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. Nowe skany FRST zbędne.

Fix pomyślnie wykonany, ale dostarczyłeś podwójny Fixlog.txt (jeden usuwam), za to brakuje nowego skanu FRST.txt. Poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Guntony DeleteKey: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\55e7cc3e_0 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Reg: reg delete "HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Guntony\Guntony\chrome.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Powstanie kolejny fixlog.txt. 2. Po w/w akcji możesz już ustawić Google Chrome jako domyślną przeglądarkę. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. - Jeśli chodzi o problem z wolnym startem, to przypuszczalna przyczyna to nadmiar programów zabezpieczających, równocześnie ładują się: Avast, pakiet McAfee i mierny soft IObit Malware Fighter 4. Poza tym, w systemie są zainstalowane wątpliwej reputacji "boostery" i "updatery". - Jeśli chodzi o to okno które szybko znika, to przypuszczalnie jest produkowane przez poniższy wpis należący do DriverSetupUtility, a wprowadzony przez wątpliwy program SlimDrivers. Podobny temat na forum: KLIK. Task: {13CCA6C5-DEC9-4DB6-86D0-D873883B4766} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () Rozpocznij od deinstalacji nadmiaru. 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Driver Booster 3.5, DriverSetupUtility, IObit Malware Fighter 4, McAfee LiveSafe, McAfee WebAdvisor, SlimCleaner Plus, SlimDrivers, Superb Game Boost 3.0, WebStorage, WildTangent Games App. Te dwa ostatnie to zbędne oprogramowanie integrowane na Asusach i można go spokojnie usunąć, jeśli z niego nie korzystasz. 2. Przejdź w Tryb awaryjny * i zastosuj McAfee Consumer Product Removal Tool. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Opuść Tryb awaryjny i zrób nowe raporty FRST. Podaj czy po deinstalacjach są widoczne zmiany.

Tak jest, fałszywy klon Chrome - u Ciebie pod nazwą Guntony. Operacje do wdrożenia: 1. Odinstaluj stare niebezpieczne wersje z lukami (zagrożenie m.in. infekcjami szyfrującymi dane): Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 11.6, Java 7 Update 9, Java(TM) 6 Update 29, Mozilla Firefox 4.0.1 (x86 pl), OpenOffice.org 2.4, QuickTime. Przy deinstalacji archaicznego Firefoxa zatwierdź usuwanie profilu z dysku, a resztę doczyści skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2606144113-2688068510-1653865551-1000 -> {644638E9-444B-4B17-8513-404DA05AC99D} URL = Task: {3637AC12-5F59-43B1-84B0-260D8F44510B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {5F873854-AD3A-4CD8-8983-18FE1E18B6DF} - System32\Tasks\{E5FA13B1-BAF6-4EC1-A0EC-0DF74AF1D912} => pcalua.exe -a D:\Azuon\bin\Azuon.exe -d D:\Azuon\bin\ Task: {69BD1CE5-5F2C-41A5-B639-F793A0166481} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe Task: {69C8C4DF-6092-4AAC-92CB-550193AC2B4A} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {91D4C876-F967-4652-B1E4-5B14F5C0CCB5} - System32\Tasks\e-pity2012_styczen => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe Task: {BA949E13-8740-4216-82BD-5309A4125287} - System32\Tasks\{945CCC1A-9EAE-47AE-A370-5A56F71971A8} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.22.64.106&LastError=404 HKU\S-1-5-21-2606144113-2688068510-1653865551-1000\...\Run: [AdobeBridge] => [X] S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] MSCONFIG\startupfolder: C:^Users^rmk^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Rejestracja FIFA 11.lnk => C:\Windows\pss\Rejestracja FIFA 11.lnk.Startup MSCONFIG\startupreg: AdobeBridge => "C:\Program Files (x86)\Adobe\Adobe Bridge CS5\Bridge.exe" -stealth MSCONFIG\startupreg: DAEMON Tools Lite => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Guntony C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\imgdoc2.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FM Genie Scout 14 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PIT Format 2012 C:\ProgramData\Mozilla C:\Users\rmk\Desktop\Google Chrome.lnk C:\Users\rmk\AppData\Local\Guntony C:\Users\rmk\AppData\Local\Mozilla C:\Users\rmk\AppData\Local\Microsoft\Windows\GameExplorer\{A3B0A0BD-02FE-48E9-8F12-5F9CE6BA4111} C:\Users\rmk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\rmk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\rmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\rmk\AppData\Roaming\Mozilla CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Google Chrome i wyczyść: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice oraz niepożądane LiveVDO plugin, vshare plugin. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Ustaw jako domyślną przeglądarkę Internet Explorer. Nie można na razie ustawić prawdziwego Chrome, dopóki nie zostanie wyczyszczony rejestr ze skojarzeń klona. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Guntony

Działania do przeprowadzenia: 1. Odinstaluj zestaw QuickTime: Apple Software, Obsługa programów Apple, QuickTime. To nie jest bezpieczny program, krytyczne luki które już nie zostaną załatane, wycofano wsparcie dla Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3843859349-2735535353-3873921887-1000\Software\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1415307971&from=cor&uid=TOSHIBAXDT01ACA100_24H2AG1FSXX24H2AG1FSX HKU\S-1-5-21-3843859349-2735535353-3873921887-1000\...\Run: [AdobeBridge] => [X] R1 {9015bae7-cdbb-4473-a5d0-ecfa559b2ca5}Gw; C:\Windows\System32\drivers\{9015bae7-cdbb-4473-a5d0-ecfa559b2ca5}Gw.sys [43152 2014-11-06] (StdLib) R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [163328 2016-10-09] () [brak podpisu cyfrowego] S3 CsrBtPort; system32\DRIVERS\CsrBtPort.sys [X] S3 csrusb; System32\Drivers\csrusb.sys [X] S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] S2 mi-raysat_3dsmax9_32; "C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe" [X] S3 MSICDSetup; \??\E:\CDriver.sys [X] S3 NTIOLib_1_0_3; \??\C:\Program Files\MSI\Super-Charger\NTIOLib.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib.sys [X] Task: {174C7ABF-B6A7-4F78-AA69-14BBC16B0A77} - System32\Tasks\{E86A76D6-C1DC-454C-A71E-D427AAFDCE28} => pcalua.exe -a "E:\SkypeMate 3.0.11.24.exe" -d E:\ Task: {21C53081-4B40-4956-AA25-54373DFB35E0} - System32\Tasks\{8955FA89-36D4-4ABF-B7C1-32C14C7A425A} => pcalua.exe -a "E:\Programy\Gierki\Deluxe Ski Jump 3\Setup.exe" -d "E:\Programy\Gierki\Deluxe Ski Jump 3" Task: {519F9747-65E5-49ED-9C27-E2C268B7FF66} - System32\Tasks\{67F7AB6F-AF2A-4C46-B6C0-2FCAB9C25560} => pcalua.exe -a "E:\Programy\Gierki\Deluxe Ski Jump 3 1.5\250 skoczków + reprezentacje.exe" -d "E:\Programy\Gierki\Deluxe Ski Jump 3 1.5" Task: {D0C2577D-B2C7-40DA-A804-0EBAB52DE06A} - System32\Tasks\{93313969-D34C-43A3-8DC6-0528FA93C5AA} => pcalua.exe -a "G:\Torrent download\Cool Edit Pro 2.1\Crack\cep2reg.exe" -d "G:\Torrent download\Cool Edit Pro 2.1\Crack" Task: {F31C97FE-7F01-40B6-A7D6-FD5A677CA02B} - System32\Tasks\{EBA53826-6678-42E8-A3FB-6C5A6F5FBCD0} => pcalua.exe -a "G:\Torrent download\Cool Edit Pro 2.1\cepsetup.exe" -d "G:\Torrent download\Cool Edit Pro 2.1" DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\ProgramData\corss C:\ProgramData\TEMP C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkypeMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Composite 2012\Documentation\Online Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Composite 2012\Documentation\Scripting API.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC PowerPack\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC PowerPack\TC PowerPack On-line.lnk C:\Windows\System32\drivers\{9015bae7-cdbb-4473-a5d0-ecfa559b2ca5}Gw.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Natalcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD FF Homepage: Mozilla\Firefox\Profiles\nvk4ix4a.default-1415992105369 -> hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1475226132&z=ca75e80aea6fa3b3ded11d5g7z5m9w3o3odqdgaobt&from=uvc0929&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.mylucky123.com/?type=sc&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKU\S-1-5-21-808355122-3858119131-277923980-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} HKU\S-1-5-21-808355122-3858119131-277923980-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKU\S-1-5-21-808355122-3858119131-277923980-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD HKU\S-1-5-21-808355122-3858119131-277923980-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-808355122-3858119131-277923980-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} SearchScopes: HKU\S-1-5-21-808355122-3858119131-277923980-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476185597&z=6f4b2dd29b8a28472340f4bg3z3m9qdg8b8w0w9tcq&from=che0812&uid=ST500LM000-1EJ162_W371ZLCDXXXXW371ZLCD&q={searchTerms} BHO: Spyware Terminator 2015 Internet Guard -> {82A76710-4F98-4957-92BE-99648A4E2475} -> C:\PROGRA~2\SPYWAR~1\STINTE~2.DLL => Brak pliku BHO-x32: Spyware Terminator 2015 Internet Guard -> {82A76710-4F98-4957-92BE-99648A4E2475} -> C:\PROGRA~2\SPYWAR~1\STINTE~1.DLL => Brak pliku BHO-x32: Brak nazwy -> {E6E66045-E911-4C01-961D-42487CE12089} -> C:\Users\Natalcia\AppData\LocalLow\Browser-Security\safe_url.dll [2016-06-20] () FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] Tcpip\..\Interfaces\{47632F91-BA34-47AB-BD3E-EE98969D39DB}: [DhcpNameServer] 188.42.227.51 148.251.96.99 BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bitsdnclean64.exe R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [280576 2016-09-01] () [brak podpisu cyfrowego] R2 IlS; C:\ProgramData\Tencent\QQ\report\repor.dll [394752 2016-10-10] () [brak podpisu cyfrowego] R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [163328 2016-10-09] () [brak podpisu cyfrowego] S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [47632 2013-04-29] (Panda Security, S.L.) S2 EvercineDL; "C:\ProgramData\corss\_@aduck00000000.tmp.dat.exe" [X] S2 sp_rsdrv2; system32\DRIVERS\stflt.sys [X] S2 ST2012_Svc; "C:\Program Files (x86)\Spyware Terminator\st_rsser64.exe" [X] MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BackupRemind.lnk => C:\Windows\pss\BackupRemind.lnk.CommonStartup MSCONFIG\startupreg: DAEMON Tools Lite => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun MSCONFIG\startupreg: RandMAC => C:\Users\Natalcia\AppData\Local\Temp\7zO9B5.tmp\MadMACs.exe doittoit MSCONFIG\startupreg: SpybotPostWindows10UpgradeReInstall => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe" MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" Task: {064A5ED9-9C1A-4991-B6BD-A469A7501B6E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {074F4F4A-AE50-4C54-BC93-203A47AD9B2A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {170E8675-E21B-44DD-827C-7F7E8FB94AC8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {1D3674EE-AF5F-4773-9132-A1B8AD9B1880} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3777C297-CC64-4B41-9FFE-E6A1A6E9701B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {595EFDB6-6565-4C77-B9B4-32613C874569} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {75BB0215-37AC-4ACC-8658-4276D088826A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {879AA5CD-E15A-442D-BED4-C19AF3B97BE3} - System32\Tasks\0915tbUpdateInfo => C:\ProgramData\Avg_Update_0915tb\0915tb_{F2CA3928-42EC-481C-8520-B9C1177561C3}.exe Task: {936124EC-50D5-4038-84C9-8EA9786F895D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A1A36B1D-AC68-4A03-B545-9768B4D496CF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {CEAE71BC-EAD1-4678-8434-AB356E34912B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {D04E4D35-3E1E-478B-A9B8-06415F82780E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D6331221-D4F5-439F-BDBB-511D47D9C00C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {F319C730-85F6-4C62-816D-5B186C6DDFEB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: C:\Windows\Tasks\0915tbUpdateInfo.job => C:\ProgramData\Avg_Update_0915tb\0915tb_{F2CA3928-42EC-481C-8520-B9C1177561C3}.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DisableService: Internet Mobilny. RunOuc AlternateDataStreams: C:\Users\Natalcia\ntuser.dat.log:{50CF2635-73DA-3D80-BE94-033263F847F8} [48] C:\Program Files\ByteFence C:\Program Files (x86)\Evercine C:\Program Files (x86)\Legness C:\Program Files (x86)\Java C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Common Files\Apps C:\ProgramData\corss C:\ProgramData\Tencent C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DOSBox-0.74 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\magritte C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MP3Gain C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OSDownloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Three Weeks in Paradise Final C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Sound Recorder\Free Sound Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Polish Empire Mod\Play Polish Empire Mod.lnk C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Users\Natalcia\AppData\Local\Evercine C:\Users\Natalcia\AppData\Local\Legness C:\Users\Natalcia\AppData\LocalLow\Browser-Security C:\Users\Natalcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Free Sound Recorder.lnk C:\Users\Natalcia\AppData\Roaming\Microsoft\Windows\Start Menu\Free Sound Recorder.lnk C:\Users\Natalcia\AppData\Roaming\Mozilla\Firefox\Profiles\nvk4ix4a.default-1415992105369\searchplugins C:\Users\Natalcia\Downloads\Niepotwierdzony 988232.crdownload C:\Users\Public\Desktop\B1 Free Archiver.lnk C:\Users\Public\Desktop\OSDownloader.lnk C:\Users\Public\Documents\temp.dat C:\Windows\System32\Drivers\PSKMAD.sys C:\Windows\system32\log C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

O jakim serwisie mowa i czy już zmieniłeś hasła? W raportach nie ma żadnych oznak infekcji, do usunięcia byłyby tylko drobne puste wpisy (co nie ma znaczenia). Aczkolwiek w systemie są dwa konta, a logi zostały zrobione tylko z kota Praca: Uruchomiony przez Praca (administrator) DESKTOP-0NHQGI0 (12-10-2016 11:26:23) ==================== Konta użytkowników: ============================= Dan (S-1-5-21-3823393342-1030952088-1191992016-1002 - Administrator - Enabled) => C:\Users\Dan Praca (S-1-5-21-3823393342-1030952088-1191992016-1005 - Administrator - Enabled) => C:\Users\Praca Na wszelki wypadek zrób też raporty FRST.txt + Addition.txt) z poziomu konta Dan.

1. Jeśli chodzi o czyszczenie systemu ze śmieci, to skończyliśmy. Przez SHIFT+DEL (omija Kosz) skasuj skanery i ich logi z folderu E:\Programy instalacyjne\Antywirusy. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK. 2. W kwestii wpisów nVidia: gdyby sprawdzenie wskazanych nie przyniosło rezultatów, szukaj w msconfig w karcie Usługi innych usług nVidia kierujących na ścieżkę C:\Program Files\NVIDIA Corporation. FRST ma bardzo silne filtrowanie i niektóre usługi nVidia nie są widoczne na domyślnych ustawieniach skanu.

Jeśli chodzi o PW (komputer musi być oddany) relatywne do mojej części pracy (raporty FRST i stan systemu), to zaznaczałam, że w pierwszej kolejności należy zająć się innym problemem (od tego Groszexxx). W kontekście zgłoszonych problemów i przy śladzie uszkodzenia plików (w raporcie widać jeden, wyłapanie reszty nie do ustalenia metodą raportów które są mocno ograniczone) jakieś "skrypty do FRST" to bardzo wątpliwe działanie. 1. Przy udziale Szukaj plików w FRST wyszukaj wszystkie kopie findstr.exe i podaj log wynikowy. 2. W spoilerze zaś ów skrypt "kosmetyczny" do FRST usuwający odpadki, do którego zmierzasz. Ja uważam jednak, że nie tym tu się powinno zajmować.

Temat przenoszę do działu Windows, to nie problem infekcji. Wyniki AdwCleaner bez znaczenia w kontekście sprawy: obiekty Revealer Keylogger (przypuszczalnie był instalowany ręcznie, poza tym przed użyciem AdwCleaner i tak był wyłączony via Menedżer zadań), strony startowe po pasku AVG pozostawione w Chrome (i nadal są widoczne) oraz jakieś drobne klucze w rejestrze. Tylko poboczne działania, czyli usunięcie odpadkowych wpisów oraz Tempów: Być może to ilość i wybór programów zabezpieczających ma wpływ. Obecnie chodzi Avast, Zemana, MBAE, MCShield.... Druga sprawa, w Dzienniku zdarzeń błędy aktywacji systemu - czy edycja "Enterprise" została w legalny sposób aktywowana? Dziennik Aplikacja: ================== Error: (10/13/2016 07:16:51 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0xC004F074 Argumenty wiersza polecenia: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=81671aaf-79d1-4eb1-b004-8cbbe173afea;NotificationInterval=1440;Trigger=NetworkAvailable Do diagnostyki miejsca na dysku skorzystaj z SpaceSniffer. Program z prawokliku "Uruchom jako administrator", by obliczył też zablokowane obszary typu System Volume Information od Przywracania systemu.

Zakładam, że punkty 1+2 wykonałeś. Skrypt FRST zrobił co należy. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST, C:\MATS oraz pobrany FRST i jego logi z folderu E:\pobieranie. To wszystko.

Linki adware konwertuję na nieaktywne. Nie odpowiedziałeś na pytanie w której przeglądarce. Jeśli tylko w Google Chrome, to odinstaluj podane rozszerzenie Light ToDo, przeładuj Chrome i podaj czy są zmiany.

Mam pytanie: czy ten plik Fixlog to jest oryginalny plik załadowany wprost z dysku (a nie zapisywany od nowa ręcznie, przeklejana zawartość, etc.)? Problemem jest, że plik Fixlog ma złe kodowanie ANSI i zepsute polskie czcionki.... Jeśli chodzi o zadania, to pomyślnie wykonane, ale elementy "Tor" znów pojawiły się na dysku.... Poprawki: 1. W Google Chrome pojawił się nowy wpis adware, prawdopodobnie załadowany via synchronizacja z serwerem Google. - Zresetuj synchronizację (o ile włączona): KLIK. - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres search.babylon.com, przestaw na "Otwórz stronę nowej karty" 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\LOCKERZ\AppData\Local\Akamai\netsession_win.exe" GroupPolicy\User: Ograniczenia FF Plugin-x32: @pages.tvunetworks.com/WebPlayer -> D:\Program Files (x86)\TVUPlayer\npTVUAx.dll [brak pliku] FF Plugin HKU\S-1-5-21-3693199113-3486577660-3927935120-1000: @acestream.net/acestreamplugin,version=2.2.2-next -> C:\Users\LOCKERZ\AppData\Roaming\ACEStream\player\npace_plugin.dll [brak pliku] C:\Users\LOCKERZ\AppData\Local\Akamai C:\Users\LOCKERZ\AppData\Roaming\.ACEStream C:\Users\LOCKERZ\AppData\Roaming\ACEStream C:\Users\LOCKERZ\AppData\Roaming\Massive Media C:\Users\LOCKERZ\AppData\Roaming\tor.exe C:\Users\LOCKERZ\AppData\Roaming\tor CMD: type C:\Windows\System32\Tasks\{EC495FB6-A04D-8085-07E5-4A678EBE46D6} Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Na wszelki wypadek jeszcze szukanie w rejestrze. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. tor.exe

Zastosuj DelFix, by usunąć używane narzędzia. Temat rozwiązany. Zamykam.

Wszystko zrobione. Zastosuj DelFix, a pobrany GMER dokasuj ręcznie. To wszystko.

Idziemy dalej: 1. Pojawiła się nowa infekcja DNS (modyfikacja plików dnsapi.dll). Uruchom RepairDNS i zresetuj system po jego użyciu. Na Pulpicie powstanie plik RepairDNS.txt. 2. W Google Chrome są nadal wpisy adware: CHR HomePage: Profile 2 -> hxxp://www.mystartsearch.com/?type=sy&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412 CHR StartupUrls: Profile 2 -> "hxxp://www.mystartsearch.com/?type=hp&ts=1434641622&z=f67b43f16ba5c60eafc3566g5zdc8zbq8zageqco4q&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412","hxxp://www.mystartsearch.com/?type=hppp&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412" Czy na pewno resetowałeś przeglądarkę wg podanych kroków? Powtórz zadanie. 3. Otwórz Notatnik i wklej w nim: C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Windows\system32\mic StartBatch: del /q C:\Windows\Minidump\*.dmp ipconfig /flushdns netsh advfirewall reset EndBatch: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

W raportach brak jakichkolwiek jawnych oznak infekcji. Opisz jakie reklamy (przykładowe adresy), na jakich stronach, w której przeglądarce (a może wszystkich). Jeśli efekt byłby tylko w Google Chrome, to podejrzenie może budzić to świeżo doinstalowane rozszerzenie (brak jakichkolwiek informacji o ID): CHR Extension: (Light ToDo) - C:\Users\Drabik\AppData\Local\Google\Chrome\User Data\Default\Extensions\impkckfbdbpbhpmcheeinadkjpgpjfko [2016-09-09]

"Tor" wraca, gdyż w starcie uruchamia się infekcja: HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [{EC495FB6-A04D-8085-07E5-4A678EBE46D6}] => C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}\ybfpnrmcj.exe [104961536 2016-10-07] (smile) Poza tym do wyrzucenia szczątki adware PriceFountain z harmonogramu oraz różne inne odpadkowe wpisy po odinstalowanych programach. Działania do przeprowadzenia: 1. Odinstaluj: Ace Stream Media 3.1.2 (wbudowany moduł adware preaktywowany po pewnym czasie), Adobe Shockwave Player 12.0 (stara wersja), Akamai NetSession Interface (zbędny downloader), Obsługa programów Apple (brak innych aplikacji Apple), Perfect Uninstaller v6.3.4.0 (program wątpliwej reputacji), Twoo 2.1.1011 (serwis Twoo powiązany z podejrzanymi spamerskimi działaniami i zastrzeżenia w kwestii prywatności), TVUPlayer 2.5.3.1 (już od dawna nie działa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [{EC495FB6-A04D-8085-07E5-4A678EBE46D6}] => C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}\ybfpnrmcj.exe [104961536 2016-10-07] (smile) HKLM-x32\...\Run: [RazerCortex] => D:\Program Files (x86)\Razer\Razer Cortex\CortexLauncher.exe -autorun Task: {066DBDD0-FBF7-446F-A7E6-5D509526FDAF} - System32\Tasks\{3279D542-38F4-4847-AC03-3BB537790B7B} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\speed2\397-ST330_VistaSetup_v0.3.exe" -d "D:\Instalki-Programy\Windows 7\speed2" Task: {27152390-D38F-46A9-97D8-EC0E9A39EB61} - System32\Tasks\{24F2297C-2894-486C-A790-6A0AA6F2BE01} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\SpeedTouch330seriesR4.0.0.5.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista" Task: {32193D3A-0DC6-44BD-BFDF-D925DF19FABA} - System32\Tasks\LOCKERZStretchedBilingualV2 => Rundll32.exe UptownsInseminates.dll,main 7 1 Task: {4195BFC7-8627-4AF5-85A8-5701B873655E} - System32\Tasks\{5C881262-692A-4E88-8AF8-D080E851ABBE} => C:\Users\LOCKERZ\Desktop\397-ST330_VistaSetup_v0.3.exe Task: {441A14BA-FBF5-4CE5-BCC4-5368FD3F5940} - System32\Tasks\{34A4218F-4663-4FE0-B8AA-DD658EDDB57D} => pcalua.exe -a C:\Users\LOCKERZ\Desktop\397-ST330_VistaSetup_v0.3.exe -d C:\Users\LOCKERZ\Desktop Task: {467F50B2-AA8B-481C-B013-44CCEBA6D446} - System32\Tasks\{942153CC-7A1B-4E64-A8A5-CEDB48BC897C} => pcalua.exe -a "C:\Program Files (x86)\thriXXX\WebLaunch\WebLaunchUninstall.exe" Task: {482AEC6E-2529-45C6-AEA6-31052E006744} - System32\Tasks\{D326FE30-5CD6-4ECC-87CE-2CF39B4FE512} => pcalua.exe -a "C:\Program Files (x86)\Thomson\ST330\Uninstall\stInstall.exe" -c -s:scen_uninstall_st330.xml -l:pl Task: {49A5C001-1F4D-41A4-A539-7D7F83B81A8C} - System32\Tasks\{A6364742-CDCA-4273-B26C-57360FED63C6} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista\setup.exe" -d "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista" Task: {4BEB87C5-BA79-49F2-A6C2-73275F3409D1} - System32\Tasks\{F34654C4-F88D-45F0-99CF-3ED3A627DC6D} => pcalua.exe -a D:\Instalki-Programy\Flash_Disinfector.exe -d D:\Instalki-Programy Task: {7AD8332A-A691-4913-9AB7-281FAA71B68C} - System32\Tasks\{0CFBF47D-25FB-4E8D-B0E1-7119156A7FA3} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIW\stInstall.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIW" Task: {95758718-FB55-407B-9EEE-1DC071DB6CC9} - System32\Tasks\{61249075-9D71-4723-8625-4CC38CC34961} => pcalua.exe -a C:\PROGRA~2\NEOSTR~1\INSTAL~1.EXE -d C:\PROGRA~2\NEOSTR~1 -c ListeModeAcces=ADSLUSB,DriverADSLUSB=THOMSSPEEDTOUCHUSB Task: {981B3721-744A-40B5-977C-7DFE6D5ED107} - System32\Tasks\{696BD7AC-4436-4D9F-80BD-FE073DFE54E4} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIWv\stInstall.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIWv" Task: {C43C5C1E-E163-4108-954E-5CED3B16D112} - System32\Tasks\SLOW-PCfighter64-LOCKERZ-Startup => D:\Program Files\Fighters\SLOW-PCfighter\SLOW-PCfighter64.exe Task: {CB6D32AA-8747-485E-996F-789893C55613} - System32\Tasks\{AF66950C-7A39-4218-8D45-1B11631787AB} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\setup.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista" Task: {D362EE8E-3919-44EC-AAF9-B1254D1E8D84} - System32\Tasks\{11AD3EB2-749C-90B4-77B0-5988AF507931} => C:\Users\LOCKERZ\AppData\Roaming\PRICEF~1\updater.exe Task: {DB901E45-A4E9-4524-8675-3A31ECEE1874} - System32\Tasks\{CB5C5B72-9DBF-4F63-AB34-EEEA0A2AEABF} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista\397-ST330_VistaSetup_v0.3.exe" -d "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista" Task: C:\Windows\Tasks\{11AD3EB2-749C-90B4-77B0-5988AF507931}.job => C:\Users\LOCKERZ\AppData\Roaming\PRICEF~1\updater.exe Task: C:\Windows\Tasks\{34969D2D-6A6A-4308-8901-FD7B1BD3E859}.job => c:\program files (x86)\google\chrome\application\chrome.exeKhxxp:/ui.skype.com/ui/0/6.6.0.106/pl/go/ MSCONFIG\Services: CacheBoost Service => 2 MSCONFIG\Services: Enlightened Shoal => 2 MSCONFIG\Services: OverwolfUpdaterService => 3 MSCONFIG\Services: Update FindRight => 2 MSCONFIG\Services: Util FindRight => 2 MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^O&O Defrag Tray.lnk => C:\Windows\pss\O&O Defrag Tray.lnk.CommonStartup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1.bat => C:\Windows\pss\1.bat.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk => C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Rejestracja FIFA 10.lnk => C:\Windows\pss\Rejestracja FIFA 10.lnk.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Start Freenet.lnk => C:\Windows\pss\Start Freenet.lnk.Startup MSCONFIG\startupreg: AceStream => C:\Users\LOCKERZ\AppData\Roaming\ACEStream\engine\ace_engine.exe MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" MSCONFIG\startupreg: CacheBoost => C:\Program Files (x86)\Systweak\Systweak CacheBoost\trayicon.exe MSCONFIG\startupreg: GmailNotifierPro => C:\Users\LOCKERZ\Desktop\GmailNotifierPro\GmailNotifierPro.exe /minimized MSCONFIG\startupreg: IObit Malware Fighter => "D:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe" /autostart MSCONFIG\startupreg: KiesAirMessage => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup MSCONFIG\startupreg: KiesPDLR => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe MSCONFIG\startupreg: KiesPreload => D:\Program Files\Kies\Kies.exe /preload MSCONFIG\startupreg: KiesTrayAgent => D:\Program Files\Kies\KiesTrayAgent.exe MSCONFIG\startupreg: MyBrowserCash => C:\Program Files (x86)\MyBrowserCash\MyBrowserCash.exe MSCONFIG\startupreg: OODefragTray => D:\Program Files\OO Software\Defrag\oodtray.exe MSCONFIG\startupreg: Overwolf => C:\Program Files (x86)\Overwolf\Overwolf.exe -silent MSCONFIG\startupreg: Pokki => "C:\Users\LOCKERZ\AppData\Local\Pokki\v0.260.6.332\pokki.exe" MSCONFIG\startupreg: PPS Accelerator => D:\PPS.tv\PPStream\PPSKernel.exe MSCONFIG\startupreg: PPSDynamicDesktop => C:\Program Files (x86)\PPSGame\PPSDynamicDesktop.exe MSCONFIG\startupreg: SpybotSD TeaTimer => D:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe MSCONFIG\startupreg: Twoo => "C:\Users\LOCKERZ\AppData\Roaming\Massive Media\Twoo.exe" MSCONFIG\startupreg: Waiting1690 => C:\Windows\stid1690.exe S3 4F97E7A5DF399D88; \??\C:\Users\LOCKERZ\AppData\Local\Temp\73CEB197.sys [X] S3 ALSysIO; \??\C:\Users\LOCKERZ\AppData\Local\Temp\ALSysIO64.sys [X] S3 ATICDSDr; \??\C:\Users\LOCKERZ\AppData\Local\Temp\ATICDSDr.sys [X] S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] S3 zghsser; system32\DRIVERS\zghsser.sys [X] D:\Program Files (x86)\uusee C:\Program Files (x86)\VMware C:\ProgramData\TEMP C:\ProgramData\VMware C:\ProgramData\Microsoft\Windows\GameExplorer\{20D6AB38-04B5-48E5-BD4B-5809C4B4F0E2} C:\Users\ADMIN\Desktop\SWAT 4.lnk C:\Users\ADMIN\Desktop\Watchtower Library 2007 - wydanie polskie.lnk C:\Users\LOCKERZ\AppData\Local\Microsoft\Windows\GameExplorer\{9593D187-5C4D-4C35-A365-F4DDFC6E2096} C:\Users\LOCKERZ\AppData\Local\Microsoft\Windows\GameExplorer\{0CDF294F-BF7C-48EC-AD72-56AD2D1513D1} C:\Users\LOCKERZ\AppData\Local\StretchedBilingual C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5} C:\Users\LOCKERZ\AppData\Roaming\tor C:\Users\LOCKERZ\AppData\Roaming\VMware C:\Users\LOCKERZ\Favorites\ÓĆĘÓÓÎĎ·ÖĐĐÄ.lnk C:\Users\LOCKERZ\Favorites\şÜżěĘÓƵËŃË÷.lnk C:\Users\mama\Desktop\SWAT 4.lnk C:\Users\mama\Desktop\Watchtower Library 2007 - wydanie polskie.lnk C:\Users\mama\Desktop\Watchtower Library 2009 - wydanie polskie.lnk C:\Users\mama\Desktop\Watchtower Library 2012 - wydanie polskie.lnk FF Plugin-x32: @pps.tv/npWebPlayer -> D:\PPS.tv\PPStream\npWebPlayer.dll [brak pliku] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\LOCKERZ\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx CHR HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [egnimkioipookhfihpljiedpgjffibpa] - C:\Program Files (x86)\MyBrowserCash\MBC_chrome.crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: HKLM-x32 {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} DPF: HKLM-x32 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset CMD: type C:\Windows\system32\GroupPolicy\User\Registry.pol EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poboczne działania w przeglądarkach: Firefox: Odinstaluj stare niepodpisane cyfrowo rozszerzenia i te już nie działające poprawnie Adblock Lite, FlyOrDie Quick Java Installer, Low Quality Flash, Real Hide IP, SmartVideo For YouTube oraz wątpliwej reputacji Twoo Notifications. Google Chrome: Odinstaluj Ace Stream Web Extension, o ile samodzielnie nie zniknie po głównej deinstalacji. AdBlock i Adblock Plus to w zasadzie już to samo i po co duplikować. Zamiast obu polecam uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Przyczyną nie jest infekcja, a to co wykrył AdwCleaner ma zerowe znaczenie (odpadkowy klucz w rejestrze, nieaktywny i nie wpływający na nic). Natomiast w Firefox odinstaluj rozszerzenie Video AdBlock, to jest adware a nie bloker reklam. Adware w Firefox również nie ma żadnego związku z problemem. A z logów dla mnie nic nie wynika. Jedyne co widać, to te błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (10/12/2016 09:34:03 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Origin Web Helper Service z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (10/12/2016 09:34:03 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Origin Web Helper Service. Error: (10/12/2016 09:33:32 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 21:32:36 na ‎2016-‎10-‎12 było nieoczekiwane. Error: (10/12/2016 09:31:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (10/12/2016 09:31:43 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. - Jeśli chodzi o zawieszenie usługi Origin, to nie przychodzi mi nic innego do głowy, niż sprawdzić najbardziej inwazyjne instalacje. Tu Avast Internet Security, ewentualnie też AVG PC TuneUp. - Jeśli chodzi Usługę buforowania czcionek i o ile to nie był błąd jednorazowy, to do wykonania te instrukcje: KLIK. Aczkolwiek nie wykluczam tu wcale Avast.

1. Nie odinstalowałeś Adobe Reader 9, programów od Apple i zbędnego HP Customer Participation Program 14.0. To nadal do wykonania. Wersje Adobe i Apple to są niebezpieczne wersje z lukami, zagrożenie infekcjami, w tym szyfrującymi dane. Najnowszy Adobe Reader w przyklejonym: KLIK. Dla QuickTime nie ma wyjścia, Apple usunęło wsparcie dla Windows i pobieranie. Dodatkowo uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy wpis Acrobat.com. 2. W Google Chrome odinstaluj sponsorowane rozszerzenie Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2014.SP2a\WNt500x64\Sandra.sys [X] S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X] HKU\S-1-5-21-3258439222-2101547467-1170819926-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\KMSnano RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.