picasso

Mam pytanie: czy te przekierowania występują tylko w Operze czy może w innych przeglądarkach także? Były na dysku szczątki Firefox (usuwałam skryptem), w systemie jest Internet Explorer - czy w nich również ujawniał się problem?

To wariant Urausy a nie Weelsof. Infekcja uruchamia się poprzez Shell bieżącego użytkownika, dlatego działa tylko interfejs cmd. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\...\Winlogon: [shell] C:\Documents and Settings\Feliks\Dane aplikacji\Other.res [172544 2010-12-09] (Symantec Corporation) HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" AV: AVG Anti-Virus Free Edition 2012 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF} C:\Documents and Settings\Feliks\Dane aplikacjiprivacy.xml C:\Documents and Settings\Feliks\Dane aplikacjiProductTweaks.xml C:\Documents and Settings\Feliks\Dane aplikacjiuser_gensett.xml C:\Documents and Settings\Feliks\Dane aplikacji\Other.res C:\Documents and Settings\Feliks\Ustawienia lokalne\Dane aplikacji\Google\Chrome Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. System zostanie odblokowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje Java (przyczyna infekcji) Java 7 Update 7, Java™ 6 Update 18 oraz zbędniki McAfee Security Scan Plus, MyFreeCodec. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Na koniec: 1. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę i OK: C:\Users\Maciej\Downloads\ComboFix.exe /uninstall 2. Następnie zastosuj DelFix, a pobrany GMER ręcznie usuń. 3. Zaktualizuj Java 8 Update 20 (64-bit) do najnowszej wersji: KLIK.

Jeszcze wyczyść foldery Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

W przeglądarce Opera nie widać nic podejrzanego, jest zainstalowane tylko jedno niedomyślne rozszerzenie, które wygląda na poprawne: Gmail on speed dial. W jakich okolicznościach występują te przekierowania i gdzie? Dostarcz zrzuty ekranu. .

Ostatnie posty usuwam. Przecież nie prosiłam o plik C:\Windows\Logs\CBS\CBS.LOG, tylko o plik C:\Windows\Logs\CBS\Checksur.log (załączony jako pierwszy). Nie był potrzebny ten ogromny cały CBS.LOG, bo mam wszystkie dane potrzebne do kontynuacji. Checksur naprawił dwa błędy manifestów na trzy, trzeci nie rozwiązany z powodu braku pliku wymaganego do naprawy: Unavailable repair files: winsxs\manifests\x86_microsoft-windows-ie-versioninfo_31bf3856ad364e35_11.2.9600.16518_none_8552867d91b3e1d9.manifest Tu musisz poczekać trochę, bo muszę ten plik w identycznej wersji komponentu skołować z jednej z maszyn wirtualnych. To potrwa. .

Proszę czytaj uważniej instrukcje robienia raportów - sekcje "Drivers MD5" + "List BCD" nie miały być zaznaczone. Jeśli chodzi o logi, to nie widać nic szkodliwego w stanie czynnym na pierwszy rzut oka, ale w procesach jest na chodzie Opera. Problem jest w tym, iż żadne z narzędzi jej nie skanuje, więc na razie zawartość + konfiguracja przeglądarki nieznana i będę ręcznie pobierać dane. Na razie przeprowadź następujące działania: Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-2904215084-2210517827-2291890427-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File S0 gqos; C:\Windows\SysWOW64\drivers\djfkmx.sys [61440 2014-11-22] () [File not signed] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S0 vmci; system32\DRIVERS\vmci.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\_ProgramData2.exe C:\ProgramData\MFAData C:\ProgramData\Mozilla C:\Users\Maciej\AppData\Local\Mozilla C:\Users\Maciej\AppData\Roaming\Mozilla C:\Users\Default\AppData\Roaming\TuneUp Software C:\Windows\SysWOW64\drivers\djfkmx.sys Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Maciej\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Maciej\AppData\Roaming\Opera Software\Opera Stable\Preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Pokazałam Ci wyraźnie co masz uszkodzone - odczyt w SFC typu manifest is damaged (TRUE). Błąd nie został w ogóle naprawiony. Podane narzędzie, mimo nazwy i ogólnego przypisania do artykułu określonej tematyki, zajmuje się "weryfikacją poprawności magazynu usług" (m.in. manifestów) i służy do naprawy takich błędów, niezależnie od tego czy w ogóle z Windows Update jest coś nie tak. Proszę narzędzie uruchomić i podać log wynikowy.

Nie przychodzi mi do głowy nic innego niż całkowicie przeinstalować Internet Explorer. - Panel sterowania > Programy > Programy i funkcje > Wyświetl zainstalowane aktualizacje > w sekcji "Microsoft Windows" odinstaluj pozycję "Internet Explorer 11". To cofnie system do poprzedniej wersji IE10. - Następnie z Windows Update zainstaluj ponownie IE11 i wszystkie inne brakujące aktualizacje.

Te "cyfry" to jest kwestia konwersji na format pliku REG - w widoku regedit masz słowne czytelne ścieżki, to samo jednak w pliku REG jest zakodowane w hex. Tego Netmana będziemy re-weryfikować potem. Teraz czekam na to:

Nie pytałam w ogóle o spis uprawnień pobranych ręcznie, przecież to jest w ostatnim pliku Fixlog pobrane komendą ListPermissions i to znacznie dokładniej. Zupełnie inne pytanie padło: Czyli czy w głównym widoku Netman, a nie w podkluczu Parameters, widać te wartości po ostatnim imporcie: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netman] "DisplayName"="@%SystemRoot%\\system32\\netman.dll,-109" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,79,00,73,00,74,00,65,00,6d,\ 00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,72,00,\ 69,00,63,00,74,00,65,00,64,00,00,00 "Description"="@%SystemRoot%\\system32\\netman.dll,-110" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,6e,00,73,00,69,00,\ 00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,00,74,\ 00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\ 00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,64,00,00,00,01,00,00,00,64,00,00,00,00,00,00,00,00,00,00,00

Zaznaczanie checkboxów nie ma znaczenia, to są opcje dla Scan a nie dla Fix, a to że plik nie powstał oznacza jakiś błąd. Czy na pewno w FRST uruchomiłeś opcję Fix?

Dwie sprawy: 1. Usługa się nie pojawia, bo z niewiadomych przyczyn import jest niekompletny, importuje tylko podklucz Parameters, cały główny klucz jest wyczyszczony na zero. Czy na pewno plik FIX.REG ma zawartość identyczną jak w moim poście? Czy na pewno w którymś programie zabezpieczającym nie masz włączonej ochrony rejestru przed zmianami / wirtualizacji nie dopuszczającej do zmian permanentnych? Spróbuj jeszcze zaimportować w inny sposób: przy wyłączonych wszystkich programach zabezpieczających Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik > Importuj. Po akcji sprawdź czy w głównym widoku klucza pojawiły się jakieś wartości. 2. SFC wykrył nienaprawialne uszkodzenia manifestów: 2014-11-22 17:24:15, Info CSI 00000323 [sR] Cannot verify component files for Microsoft-Windows-Security-Processor-Native-Whitebox-ISV, Version = 6.1.7601.18332, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Dostarcz wynikowy log C:\Windows\Logs\CBS\Checksur.log. By plik dało się wstawić w załącznik, należy zmienić ręcznie nazwę pliku z *.log na *.txt.

Brakuje trzeciego pliku FRST Shortcut. OTL też niekompletny (brak pliku Extras). Poza tym, skąd pobierałeś ten FRST? Na pewno nie z linka w przyklejonym, do którego kieruję w instrukcjach. Używasz potwornie starej wersji pozbawionej nowych skanów, poprawek i komend: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 31-08-2014 (ATTENTION: ====> FRST version is 83 days old and could be outdated) Najnowsza wersja FRST jest z dzisiaj. Wracaj do przyklejonego, pobierz najnowszą wersję i zrób trzy raporty FRST: KLIK.

Kolejne podejście, tym razem przeładowanie silnika IE poprzez reinstalację: Panel sterowania > Programy > Programy i funkcje > Włącz lub Wyłącz funkcje systemu Windows > odfajkuj pozycję Internet Explorer 11 > zresetuj system. Wróć ponownie do interfejsu Włącz lub Wyłącz funkcje systemu Windows, zaznacz go i zresetuj system. Podaj czy są zmiany.

Usuń za pomocą MBAM ten szczątkowy kluczyk.

Temat przenoszę do działu Sieci, brak oznak infekcji. - Zacznij od deinstalacji zbędnika Akamai NetSession Interface. Tu przykładowy temat jakie mogą być skutki uboczne jego pobytu: KLIK. - Jeśli nie będzie pozytywnych zmian, przetestuj czy nie bruździ AVG 2015 (testowa deinstalacja). - W przypadku braku rezultatów dostarcz raporty orientowane pod problemu sieciowe: KLIK.

1. Podaj mi dodatkowe dane jak ten klucz wygląda dokładnie i jakie ma uprawnienia. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Netman /s ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\Netman ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\Netman\Parameters Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Zaprezentuj go. 2. Dodatkowo jeszcze wykonaj weryfikację poprawności plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Tak, program nadpisuje plik C:\DelFix.txt, więc pierwsze uruchomienie nie jest potwierdzone, ale wnioskując po drugim podejściu co miało być usunięte, zostało skasowane. Czy sprawdziłeś koncepcję z Nortonem?

W systemie jest zainstalowane adware, a przeglądarka Google Chrome została przekonwertowana przez adware z wersji "stabilnej" (z zabezpieczeniami przed niepożądanymi instalacjami) do "development" (brak limitacji) i będzie wymagana kompleksowa reinstalacja. Przeprowadź następujące operacje: 1. Rozpocznij od poprawnych deinstalacji via Przez Panel sterowania: - Adware: GoSave, GS_Booster, GS_Sustainer, Remote Desktop Access (VuuPC), Unitech LLC toolbar oraz nieszczęsne Google Chrome. Przy deinstalacji Google Chrome zaznacz opcję Usuń także dane przeglądarki. - Stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, Akamai NetSession Interface, Dll-Files Fixer, Java 7 Update 9 (64-bit). Jeśli coś zwróci błąd przy deinstalacji lub nie będzie widoczne, kontynuuj z kolejnymi elementami. I nie instaluj jeszcze nowej wersji Google Chrome, podam dokładnie kiedy to ma nastąpić. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. .

Skan SFC wykrył tylko jedno naruszenie (authui.ptxml), nie tu jest pies pogrzebany. Spróbuj przerejestrować pliki Internet Explorer. Upewnij się, że przeglądarka jest zamknięta. Uruchom Fix IE Utility - program wprawdzie kończy kompatybilność na IE9, ale pewne pliki są "wspólne" i powinno zazębić się częściowo z IE11. Po zastosowaniu aplikacji zresetuj system i sprawdź czy jest jakaś poprawa w Internet Explorer.

Bez zmian. Powiedz mi czy po tych importach FIX.REG w regedit widzisz w ogóle poniższy klucz, a jeśli tak to czy jest on pusty albo próba otwarcia go zwraca "Odmowę dostępu" lub inny błąd: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netman

Klucz został poprawnie usunięty. Błąd przy reinstalacji Silverlight nadal wylicza ten sam klucz? I co to właściwie oznacza, że "Silverlight przestał działać" - w której przeglądarce i jak to się objawia? Spróbuj zastosować narzędzie Fix-it czyszczące uszkodzone instalacje Silverlight: KLIK. Po tym spróbuj ponowić instalację najnowszej wersji.

Adware grasuje, dodatkowo przeglądarka Google została przekonwertowana przez adware z wersji stabilnej do "development" i wymagana konkretna reinstalacja. Akcja: 1. Przez Panel sterowania odinstaluj adware BestDiscountApp, Settings Manager, Term Tutor, szczątek po McAfee Shared C Run-time for x64 oraz zbędny Spybot - Search & Destroy. Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410532145&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9CD712846&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410532145&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9CD712846&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13001&tm=384&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13001&tm=384&src=ds&p={searchTerms} CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {13FBEE29-56E1-4BF9-8C6C-5F0396CF359B} - \globalUpdateUpdateTaskMachineCore No Task File Task: {4164EDE6-73E2-4D35-9118-1B681CCF6DC5} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {4709AF5D-AC66-45C1-94E9-D2A259703A08} - \globalUpdateUpdateTaskMachineUA No Task File Task: {ECA9DB3E-3AB8-40C6-9865-53070FD89153} - System32\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3 => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.exe Task: C:\WINDOWS\Tasks\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.job => C:\Program Files (x86)\Plus-HD-V1.5\1a865e51-8d7f-47ac-a7cc-49d250e98ec8-3.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File AV: McAfee Anti-Virus i Anti-Spyware (Disabled - Up to date) {ADA629C7-7F48-5689-624A-3B76997E0892} AS: McAfee Anti-Virus i Anti-Spyware (Disabled - Up to date) {16C7C823-5972-5907-58FA-0004E2F9422F} FW: McAfee Firewall (Disabled) {959DA8E2-3527-57D1-4915-924367AD4FE9} C:\Program Files (x86)\Google C:\Program Files (x86)\TermTutor C:\Users\Radek\AppData\Local\Google C:\Users\Radek\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "MyPC Backup.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mcui_exe /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Radek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Radek\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Radek\AppData\Local CMD: dir /a C:\Users\Radek\AppData\LocalLow CMD: dir /a C:\Users\Radek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Na temat używania ComboFix: KLIK. Log z ComboFix już zostaw, by było wiadome co robił. Proszę dostosuj się do zasad działu w kwestii obowiązkowych raportów: KLIK. Dołącz logi z FRST, OTL i GMER. Narzędzia nieinwazyjne i powiedzą znacznie więcej niż ubogi filtrowany odczyt z ComboFix.