picasso

Idziemy dalej: 1. Pojawiła się nowa infekcja DNS (modyfikacja plików dnsapi.dll). Uruchom RepairDNS i zresetuj system po jego użyciu. Na Pulpicie powstanie plik RepairDNS.txt. 2. W Google Chrome są nadal wpisy adware: CHR HomePage: Profile 2 -> hxxp://www.mystartsearch.com/?type=sy&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412 CHR StartupUrls: Profile 2 -> "hxxp://www.mystartsearch.com/?type=hp&ts=1434641622&z=f67b43f16ba5c60eafc3566g5zdc8zbq8zageqco4q&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412","hxxp://www.mystartsearch.com/?type=hppp&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412" Czy na pewno resetowałeś przeglądarkę wg podanych kroków? Powtórz zadanie. 3. Otwórz Notatnik i wklej w nim: C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Windows\system32\mic StartBatch: del /q C:\Windows\Minidump\*.dmp ipconfig /flushdns netsh advfirewall reset EndBatch: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

W raportach brak jakichkolwiek jawnych oznak infekcji. Opisz jakie reklamy (przykładowe adresy), na jakich stronach, w której przeglądarce (a może wszystkich). Jeśli efekt byłby tylko w Google Chrome, to podejrzenie może budzić to świeżo doinstalowane rozszerzenie (brak jakichkolwiek informacji o ID): CHR Extension: (Light ToDo) - C:\Users\Drabik\AppData\Local\Google\Chrome\User Data\Default\Extensions\impkckfbdbpbhpmcheeinadkjpgpjfko [2016-09-09]

"Tor" wraca, gdyż w starcie uruchamia się infekcja: HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [{EC495FB6-A04D-8085-07E5-4A678EBE46D6}] => C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}\ybfpnrmcj.exe [104961536 2016-10-07] (smile) Poza tym do wyrzucenia szczątki adware PriceFountain z harmonogramu oraz różne inne odpadkowe wpisy po odinstalowanych programach. Działania do przeprowadzenia: 1. Odinstaluj: Ace Stream Media 3.1.2 (wbudowany moduł adware preaktywowany po pewnym czasie), Adobe Shockwave Player 12.0 (stara wersja), Akamai NetSession Interface (zbędny downloader), Obsługa programów Apple (brak innych aplikacji Apple), Perfect Uninstaller v6.3.4.0 (program wątpliwej reputacji), Twoo 2.1.1011 (serwis Twoo powiązany z podejrzanymi spamerskimi działaniami i zastrzeżenia w kwestii prywatności), TVUPlayer 2.5.3.1 (już od dawna nie działa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\...\Run: [{EC495FB6-A04D-8085-07E5-4A678EBE46D6}] => C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5}\ybfpnrmcj.exe [104961536 2016-10-07] (smile) HKLM-x32\...\Run: [RazerCortex] => D:\Program Files (x86)\Razer\Razer Cortex\CortexLauncher.exe -autorun Task: {066DBDD0-FBF7-446F-A7E6-5D509526FDAF} - System32\Tasks\{3279D542-38F4-4847-AC03-3BB537790B7B} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\speed2\397-ST330_VistaSetup_v0.3.exe" -d "D:\Instalki-Programy\Windows 7\speed2" Task: {27152390-D38F-46A9-97D8-EC0E9A39EB61} - System32\Tasks\{24F2297C-2894-486C-A790-6A0AA6F2BE01} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\SpeedTouch330seriesR4.0.0.5.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista" Task: {32193D3A-0DC6-44BD-BFDF-D925DF19FABA} - System32\Tasks\LOCKERZStretchedBilingualV2 => Rundll32.exe UptownsInseminates.dll,main 7 1 Task: {4195BFC7-8627-4AF5-85A8-5701B873655E} - System32\Tasks\{5C881262-692A-4E88-8AF8-D080E851ABBE} => C:\Users\LOCKERZ\Desktop\397-ST330_VistaSetup_v0.3.exe Task: {441A14BA-FBF5-4CE5-BCC4-5368FD3F5940} - System32\Tasks\{34A4218F-4663-4FE0-B8AA-DD658EDDB57D} => pcalua.exe -a C:\Users\LOCKERZ\Desktop\397-ST330_VistaSetup_v0.3.exe -d C:\Users\LOCKERZ\Desktop Task: {467F50B2-AA8B-481C-B013-44CCEBA6D446} - System32\Tasks\{942153CC-7A1B-4E64-A8A5-CEDB48BC897C} => pcalua.exe -a "C:\Program Files (x86)\thriXXX\WebLaunch\WebLaunchUninstall.exe" Task: {482AEC6E-2529-45C6-AEA6-31052E006744} - System32\Tasks\{D326FE30-5CD6-4ECC-87CE-2CF39B4FE512} => pcalua.exe -a "C:\Program Files (x86)\Thomson\ST330\Uninstall\stInstall.exe" -c -s:scen_uninstall_st330.xml -l:pl Task: {49A5C001-1F4D-41A4-A539-7D7F83B81A8C} - System32\Tasks\{A6364742-CDCA-4273-B26C-57360FED63C6} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista\setup.exe" -d "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista" Task: {4BEB87C5-BA79-49F2-A6C2-73275F3409D1} - System32\Tasks\{F34654C4-F88D-45F0-99CF-3ED3A627DC6D} => pcalua.exe -a D:\Instalki-Programy\Flash_Disinfector.exe -d D:\Instalki-Programy Task: {7AD8332A-A691-4913-9AB7-281FAA71B68C} - System32\Tasks\{0CFBF47D-25FB-4E8D-B0E1-7119156A7FA3} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIW\stInstall.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIW" Task: {95758718-FB55-407B-9EEE-1DC071DB6CC9} - System32\Tasks\{61249075-9D71-4723-8625-4CC38CC34961} => pcalua.exe -a C:\PROGRA~2\NEOSTR~1\INSTAL~1.EXE -d C:\PROGRA~2\NEOSTR~1 -c ListeModeAcces=ADSLUSB,DriverADSLUSB=THOMSSPEEDTOUCHUSB Task: {981B3721-744A-40B5-977C-7DFE6D5ED107} - System32\Tasks\{696BD7AC-4436-4D9F-80BD-FE073DFE54E4} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIWv\stInstall.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\STHIWv" Task: {C43C5C1E-E163-4108-954E-5CED3B16D112} - System32\Tasks\SLOW-PCfighter64-LOCKERZ-Startup => D:\Program Files\Fighters\SLOW-PCfighter\SLOW-PCfighter64.exe Task: {CB6D32AA-8747-485E-996F-789893C55613} - System32\Tasks\{AF66950C-7A39-4218-8D45-1B11631787AB} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista\setup.exe" -d "D:\Instalki-Programy\Windows 7\Speed\SpeedTouch330_for_Vista" Task: {D362EE8E-3919-44EC-AAF9-B1254D1E8D84} - System32\Tasks\{11AD3EB2-749C-90B4-77B0-5988AF507931} => C:\Users\LOCKERZ\AppData\Roaming\PRICEF~1\updater.exe Task: {DB901E45-A4E9-4524-8675-3A31ECEE1874} - System32\Tasks\{CB5C5B72-9DBF-4F63-AB34-EEEA0A2AEABF} => pcalua.exe -a "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista\397-ST330_VistaSetup_v0.3.exe" -d "D:\Instalki-Programy\Windows 7\SpeedTouch330_for_Vista" Task: C:\Windows\Tasks\{11AD3EB2-749C-90B4-77B0-5988AF507931}.job => C:\Users\LOCKERZ\AppData\Roaming\PRICEF~1\updater.exe Task: C:\Windows\Tasks\{34969D2D-6A6A-4308-8901-FD7B1BD3E859}.job => c:\program files (x86)\google\chrome\application\chrome.exeKhxxp:/ui.skype.com/ui/0/6.6.0.106/pl/go/ MSCONFIG\Services: CacheBoost Service => 2 MSCONFIG\Services: Enlightened Shoal => 2 MSCONFIG\Services: OverwolfUpdaterService => 3 MSCONFIG\Services: Update FindRight => 2 MSCONFIG\Services: Util FindRight => 2 MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^O&O Defrag Tray.lnk => C:\Windows\pss\O&O Defrag Tray.lnk.CommonStartup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1.bat => C:\Windows\pss\1.bat.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk => C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Rejestracja FIFA 10.lnk => C:\Windows\pss\Rejestracja FIFA 10.lnk.Startup MSCONFIG\startupfolder: C:^Users^LOCKERZ^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Start Freenet.lnk => C:\Windows\pss\Start Freenet.lnk.Startup MSCONFIG\startupreg: AceStream => C:\Users\LOCKERZ\AppData\Roaming\ACEStream\engine\ace_engine.exe MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" MSCONFIG\startupreg: CacheBoost => C:\Program Files (x86)\Systweak\Systweak CacheBoost\trayicon.exe MSCONFIG\startupreg: GmailNotifierPro => C:\Users\LOCKERZ\Desktop\GmailNotifierPro\GmailNotifierPro.exe /minimized MSCONFIG\startupreg: IObit Malware Fighter => "D:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe" /autostart MSCONFIG\startupreg: KiesAirMessage => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup MSCONFIG\startupreg: KiesPDLR => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe MSCONFIG\startupreg: KiesPreload => D:\Program Files\Kies\Kies.exe /preload MSCONFIG\startupreg: KiesTrayAgent => D:\Program Files\Kies\KiesTrayAgent.exe MSCONFIG\startupreg: MyBrowserCash => C:\Program Files (x86)\MyBrowserCash\MyBrowserCash.exe MSCONFIG\startupreg: OODefragTray => D:\Program Files\OO Software\Defrag\oodtray.exe MSCONFIG\startupreg: Overwolf => C:\Program Files (x86)\Overwolf\Overwolf.exe -silent MSCONFIG\startupreg: Pokki => "C:\Users\LOCKERZ\AppData\Local\Pokki\v0.260.6.332\pokki.exe" MSCONFIG\startupreg: PPS Accelerator => D:\PPS.tv\PPStream\PPSKernel.exe MSCONFIG\startupreg: PPSDynamicDesktop => C:\Program Files (x86)\PPSGame\PPSDynamicDesktop.exe MSCONFIG\startupreg: SpybotSD TeaTimer => D:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe MSCONFIG\startupreg: Twoo => "C:\Users\LOCKERZ\AppData\Roaming\Massive Media\Twoo.exe" MSCONFIG\startupreg: Waiting1690 => C:\Windows\stid1690.exe S3 4F97E7A5DF399D88; \??\C:\Users\LOCKERZ\AppData\Local\Temp\73CEB197.sys [X] S3 ALSysIO; \??\C:\Users\LOCKERZ\AppData\Local\Temp\ALSysIO64.sys [X] S3 ATICDSDr; \??\C:\Users\LOCKERZ\AppData\Local\Temp\ATICDSDr.sys [X] S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] S3 zghsser; system32\DRIVERS\zghsser.sys [X] D:\Program Files (x86)\uusee C:\Program Files (x86)\VMware C:\ProgramData\TEMP C:\ProgramData\VMware C:\ProgramData\Microsoft\Windows\GameExplorer\{20D6AB38-04B5-48E5-BD4B-5809C4B4F0E2} C:\Users\ADMIN\Desktop\SWAT 4.lnk C:\Users\ADMIN\Desktop\Watchtower Library 2007 - wydanie polskie.lnk C:\Users\LOCKERZ\AppData\Local\Microsoft\Windows\GameExplorer\{9593D187-5C4D-4C35-A365-F4DDFC6E2096} C:\Users\LOCKERZ\AppData\Local\Microsoft\Windows\GameExplorer\{0CDF294F-BF7C-48EC-AD72-56AD2D1513D1} C:\Users\LOCKERZ\AppData\Local\StretchedBilingual C:\Users\LOCKERZ\AppData\Roaming\{49EFEF0E-F50F-8ED2-8FA9-099599544FA5} C:\Users\LOCKERZ\AppData\Roaming\tor C:\Users\LOCKERZ\AppData\Roaming\VMware C:\Users\LOCKERZ\Favorites\ÓĆĘÓÓÎĎ·ÖĐĐÄ.lnk C:\Users\LOCKERZ\Favorites\şÜżěĘÓƵËŃË÷.lnk C:\Users\mama\Desktop\SWAT 4.lnk C:\Users\mama\Desktop\Watchtower Library 2007 - wydanie polskie.lnk C:\Users\mama\Desktop\Watchtower Library 2009 - wydanie polskie.lnk C:\Users\mama\Desktop\Watchtower Library 2012 - wydanie polskie.lnk FF Plugin-x32: @pps.tv/npWebPlayer -> D:\PPS.tv\PPStream\npWebPlayer.dll [brak pliku] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\LOCKERZ\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx CHR HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [egnimkioipookhfihpljiedpgjffibpa] - C:\Program Files (x86)\MyBrowserCash\MBC_chrome.crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3693199113-3486577660-3927935120-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: HKLM-x32 {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} DPF: HKLM-x32 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset CMD: type C:\Windows\system32\GroupPolicy\User\Registry.pol EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Poboczne działania w przeglądarkach: Firefox: Odinstaluj stare niepodpisane cyfrowo rozszerzenia i te już nie działające poprawnie Adblock Lite, FlyOrDie Quick Java Installer, Low Quality Flash, Real Hide IP, SmartVideo For YouTube oraz wątpliwej reputacji Twoo Notifications. Google Chrome: Odinstaluj Ace Stream Web Extension, o ile samodzielnie nie zniknie po głównej deinstalacji. AdBlock i Adblock Plus to w zasadzie już to samo i po co duplikować. Zamiast obu polecam uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Przyczyną nie jest infekcja, a to co wykrył AdwCleaner ma zerowe znaczenie (odpadkowy klucz w rejestrze, nieaktywny i nie wpływający na nic). Natomiast w Firefox odinstaluj rozszerzenie Video AdBlock, to jest adware a nie bloker reklam. Adware w Firefox również nie ma żadnego związku z problemem. A z logów dla mnie nic nie wynika. Jedyne co widać, to te błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (10/12/2016 09:34:03 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Origin Web Helper Service z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (10/12/2016 09:34:03 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Origin Web Helper Service. Error: (10/12/2016 09:33:32 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 21:32:36 na ‎2016-‎10-‎12 było nieoczekiwane. Error: (10/12/2016 09:31:43 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: Usługa nie odpowiada na sygnał uruchomienia lub sygnał sterujący w oczekiwanym czasie. Error: (10/12/2016 09:31:43 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. - Jeśli chodzi o zawieszenie usługi Origin, to nie przychodzi mi nic innego do głowy, niż sprawdzić najbardziej inwazyjne instalacje. Tu Avast Internet Security, ewentualnie też AVG PC TuneUp. - Jeśli chodzi Usługę buforowania czcionek i o ile to nie był błąd jednorazowy, to do wykonania te instrukcje: KLIK. Aczkolwiek nie wykluczam tu wcale Avast.

1. Nie odinstalowałeś Adobe Reader 9, programów od Apple i zbędnego HP Customer Participation Program 14.0. To nadal do wykonania. Wersje Adobe i Apple to są niebezpieczne wersje z lukami, zagrożenie infekcjami, w tym szyfrującymi dane. Najnowszy Adobe Reader w przyklejonym: KLIK. Dla QuickTime nie ma wyjścia, Apple usunęło wsparcie dla Windows i pobieranie. Dodatkowo uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy wpis Acrobat.com. 2. W Google Chrome odinstaluj sponsorowane rozszerzenie Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2014.SP2a\WNt500x64\Sandra.sys [X] S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X] HKU\S-1-5-21-3258439222-2101547467-1170819926-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\KMSnano RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Skrypt wykonany. Używałeś wcześniej już AdwCleaner i Hitman, więc nie zadaję ich ponownie. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pobranych FRST, GMER i ich logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Zainstaluj Internet Explorer 11, niezależnie od tego że tej przeglądarki nie używasz. Pobieranie także w w/w linku. Po instalacji uruchom Windows Update, by sprawdzić jakie łaty są oferowane.

Wszystko zrobione, więc znajome Ci już kroki końcowe; Skasuj z Pulpitu z "POMOC" narzędzia i ich logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Poprawki: 1. Nie odinstalowałeś programów Apple. Przypominam, że używanie QuickTime nie jest bezpieczne, krytyczne luki i usunięte wsparcie dla Windows. 2. Nadal jest problem z profilem Firefox i stoi jako domyślny ten sam co poprzednio. Powtórz kroki związane z tworzeniem nowego profilu. 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData RemoveDirectory: C:\Users\Andreas\AppData\Roaming\Maxthon3 RemoveDirectory: C:\Windows\Azart RemoveDirectory: C:\Windows\erdnt RemoveDirectory: C:\Windows\ERUNT CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Tym razem UTF-8 nie jest wymagane. Uruchom FRST i kliknij w Napraw (Fix). Fix powinien się szybko wykonać bez restartu Windows. Przedstaw wynikowy fixlog.txt.

1. Zrób w notatniku Fixlist.txt w kodowaniu UTF-8 o postaci: GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3424310977-905981195-1643685065-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3424310977-905981195-1643685065-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3424310977-905981195-1643685065-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f AlternateDataStreams: C:\ProgramData\Microsoft:B51K78KwGpK5R1vAWBfZ50JQlA [2460] AlternateDataStreams: C:\ProgramData\Microsoft:hrWjInlZ0odOqBZMx [550] AlternateDataStreams: C:\ProgramData\Microsoft:pqNH2aCI5PMsyQx6HqE [2068] AlternateDataStreams: C:\ProgramData\Microsoft:sChghMnNGRhLWYDHhkxyz8ab6qh [2366] C:\KRECYCLE C:\Program Files\CyberGhost 5 C:\Program Files\CyberGhost VPN C:\Program Files\FreeFixer C:\Program Files\Reason C:\Program Files (x86)\4ovgyw7i C:\Program Files (x86)\eclvab0f C:\Program Files (x86)\kingsoft C:\Program Files (x86)\UnHackMe C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\kdesk C:\ProgramData\Kingsoft C:\ProgramData\ProductData C:\ProgramData\RegRun C:\ProgramData\Tencent C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2\ASIO4ALL v2 Off-Line Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIcodec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cakewalk\Studio Instruments\SI-*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Creative C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DigiDesign\Plug-Ins\FocusRite D2\Digidesign Plug-Ins Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FXpansion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iLok License Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\DDLY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\Neutron C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mokafix Audio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\reFX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SynthMaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC Electronic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webplugin.exe C:\Users\Andreas\AppData\Local\{F05CE88F-EBBE-427D-97BD-F9D62CB16428} C:\Users\Andreas\AppData\Local\FreeFixer C:\Users\Andreas\AppData\Local\Kingsoft C:\Users\Andreas\AppData\Local\Redetaingrimither C:\Users\Andreas\AppData\Local\UCBrowser C:\Users\Andreas\AppData\LocalLow\IObit C:\Users\Andreas\AppData\Roaming\*.* C:\Users\Andreas\AppData\Roaming\FreeFixer C:\Users\Andreas\AppData\Roaming\IObit C:\Users\Andreas\AppData\Roaming\Kingsoft C:\Users\Andreas\AppData\Roaming\Tencent C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12 (64bit).lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KORG C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Metric Halo\Manual.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nomad Factory C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overloud\TH2\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Positive Grid C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steinberg HALionOne\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Two Notes Audio Engineering C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12 (64bit).lnk C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CPUID CPU-Z.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CyberGhost 5.lnk C:\Users\Andreas\Documents\MAGIX\Audio & Music Lab 2016 Premium\_Demo.LNK C:\Users\Andreas\Documents\RegRun2 C:\Users\Andreas\Favorites\GG dysk.lnk C:\Users\Andreas\Links\GG dysk.lnk C:\Windows\libeay32.dll C:\Windows\libcurl.dll C:\Windows\ssleay32.dll C:\Windows\winstart.bat C:\Windows\zlib1.dll C:\Windows\IObit C:\Windows\system32\ffnd.exe C:\Windows\SysWOW64\CONFIG.NT C:\Windows\SysWOW64\AUTOEXEC.NT CMD: ipconfig /flushdns Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Aracity /s EmptyTemp: Uruchom go z poziomu Trybu awaryjnego Windows. 2. Przejdź z powrotem w Tryb normalny i zrób nowe logi FRST.

Nie zapisałeś Fixlist w UTF-8, dlatego pewne wpisy nie zostały przetworzone. Zadania w większości pomyślnie wykonane, będą zadania doczyszczające, ale dostarcz pełne logi: Log Addition niekompletny z powodu który wymieniasz. Wyczyść Dzienniki: Klawisz z flagą Windows + X > Podgląd zdarzeń > W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. Uruchom FRST, zaznacz pole Shortcut.txt i ponów skan. Dostarcz pliki Addition.txt i Shortcut.txt.

Proszę o pokazanie cząstkowego Fixlog, który powinien zostać utworzony w katalogu z którego FRST uruchamiałeś. Nie uruchamiaj ponownie opcji Fix, dostarcz log który już powinien być. Folder udało Ci się usunąć, bo Fix FRST usunął wpis ShellIconOverlayIdentifiers ładujący Tencent do powłoki. W Fix FRST było więcej rzeczy do wykonania, nie tylko wpis Tencent. Nie wszystko zrobione. Na razie chcę ustalić w którym miejscu zatrzymał się Fix.

Brak oznak infekcji i nie mam się czym tu zajmować. Program wykrył folder rozszerzenia Empty New Tab Page i wygląda mi to na fałszywy alarm... Domyślnie w opcjach AdwCleaner jest ustawione prowadzenie obu tych akcji. To się wykonuje niezależnie od tego czy AdwCleaner w ogóle wykrył jakieś modyfikacje w tych miejscach. Czyli na całkowicie czystym systemie uruchomienie opcji "Oczyść" bez zmian w ustawieniach AdwCleaner zawsze będzie skutkować tym odczytem w logu.

Wbrew pozorom ta infekcja jest prosta, opiera się tylko na dwóch wpisach: Run + zadanie w Harmonogramie reimportujące modyfikację Run. Przy okazji będą do usunięcia też odpadki po aktualizacji z Windows 7 do Windows 10. Działania do przeprowadzenia: 1. Odinstaluj zbędny Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1698314851-326736941-3311299484-1000\...\Run: [Mateusz] => explorer.exe hxxp://kb-ribaki.org Task: {034E5BA9-414B-4F87-A3C0-5DAE93F13760} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {0B2BFB12-C3C8-4045-A82F-6F7C842C3C84} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {12A798CD-1EC9-4C1C-A17C-5CA771B620B6} - System32\Tasks\{75B23389-F256-4B6F-A8F7-82D9622D4D05} => pcalua.exe -a C:\Users\Mateusz\Desktop\wog\WoG_Install\Install.exe -d C:\Users\Mateusz\Desktop\wog\WoG_Install Task: {16273C2B-E61C-4692-AF72-4DF83EE6559E} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {17C819EE-2BDB-4419-80B4-D1D0FB436D71} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {1D610B3B-2BF0-4D27-85B8-FFC1328CAE1B} - \Games\UpdateCheck_S-1-5-21-1698314851-326736941-3311299484-1000 -> Brak pliku Task: {274D1AC6-4E81-48B2-91A5-0DFF5BB968E5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {27D68370-652D-4E2C-AC68-801FF29F0381} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {2D92979C-4B7D-47C0-9027-C962DC991700} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {2F759D6F-9D59-4B17-B641-63074839277F} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {35C026C8-1A54-4259-A420-EA8737BC97BF} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {375F322F-6EF9-49B9-8037-FA5C8A1F808F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {3A0032EF-07B6-4660-8CD6-E9F8D7F48B9B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3CE61CFB-AF91-4F1F-8725-E4A48CA41B08} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {468A2BD5-D058-45CE-A844-A9C83131E3AD} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {4723E685-7D04-4BA2-8AFA-13571EC3BD8D} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4DB97757-F13D-4ADE-9B9E-1EC3D9065569} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {535647D7-62EB-43F2-BD2D-3CABF2E5AFA9} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {59A4A44A-6B98-437E-A504-83BAF3B95570} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {5E07C4E1-C8A5-47DD-8F79-371F102BC589} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku Task: {6689BDC2-07DE-4AFC-A2C5-BA1EA396A54A} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {68D6B5E7-2F9C-4FCF-AF30-A16F25AD56F0} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {6914217B-FD73-4E9F-98E1-F5ED405A838A} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6EF4C0ED-0694-41EB-8BB6-FF2AF51879EA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {76B73F21-EEB6-4712-859B-9DEFE730715D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {7F2A2731-5FFE-42C4-B72B-8432E183BF6A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {826F96E1-27C9-4671-ADE6-3EC5ED2DE78B} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {8787F786-BD46-4C3C-BBB8-27CDDE19624A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {92F1446E-DD05-48B3-A229-FF092A27B4D7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {96ACDD8F-5ADD-47EB-8A6A-97BB25940D1F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {97777994-5FD0-4FD4-AF72-3F96901A7E87} - System32\Tasks\Mateusz => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mateusz /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {A5544DB6-9E9E-4BA4-B696-1A20ADFC7D12} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B10FF8A9-D418-42D1-AA63-55509377EE21} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B83566AB-6BCC-4DD7-84FF-E8A3E2547A4B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {C070CD25-FE7A-4960-B26D-88F461C9118A} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D26D3903-47A4-4C69-BC48-5BDA9EAB575A} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {D4D50053-1EF3-42B0-88DD-EE1AD6F39A39} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {E25CAF25-F7F9-4CFE-89A7-8F139563AE39} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {E7F3A25E-2F47-45D0-B78D-DD4CBD6054DC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {EC2BC85F-5B65-418F-9139-40D408358FD0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F5629234-7467-421D-A6DB-A19E271D9D37} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {FB196247-9ACD-4E2B-B83D-C48BAFD804CD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center U3 idsvc; Brak ImagePath SearchScopes: HKU\S-1-5-21-1698314851-326736941-3311299484-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-1698314851-326736941-3311299484-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mass Effect 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Star Wars - The Old Republic.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Star Wars - The Old Republic.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Działania do przeprowadzenia; 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 backlh; C:\ProgramData\Logic Handler\set.exe [3786752 2016-10-07] () [Brak podpisu cyfrowego] R2 Citdhwa; C:\Users\Radek\AppData\Roaming\AzigcWig\Geeswu.exe [121344 2016-08-11] () [Brak podpisu cyfrowego] R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2016-10-12] () [Brak podpisu cyfrowego] R2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [216704 2016-10-12] () R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-10-12] () R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 Nettrans; C:\ProgramData\NetworkPacketManitor\Nettrans.exe [57856 2016-09-28] () [Brak podpisu cyfrowego] R2 Rohucultatoergh; C:\Program Files (x86)\Hzocult\rrgsch.dll [280064 2016-10-12] () [Brak podpisu cyfrowego] R2 Viokdojvaf; C:\Users\Radek\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [Brak podpisu cyfrowego] R2 fysevowu; C:\Program Files (x86)\00000000-1476269399-0000-0000-4CCC6A653515\knsz7298.tmpfs [X] S3 cpuz136; C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [23856 2016-09-09] (CPUID) R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-10-12] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-10-12] (WinMount International Inc) <==== UWAGA R1 MaohaWifiNetPro; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [871152 2015-10-27] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] HKLM\...\Run: [gplyra] => C:\Users\Radek\AppData\Roaming\gplyra\gplyra\start.cmd [216 2016-01-19] () HKLM-x32\...\Run: [StereoLinksInstall] => "C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvstlink.exe" /install1 HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\Run: [msiql] => C:\Users\Radek\AppData\Local\Temp\00030760\msiql.exe [1883648 2016-10-12] () <===== UWAGA HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\StartupApproved\Run32: => "app" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\StartupApproved\Run: => "apphide" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\StartupApproved\Run: => "svchost0" ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-10-12] () ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-10-12] () TasksDetails: Task: {14308DB2-0D2B-4971-A160-B54F6681AF23} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {6680C602-81A6-4B0C-B05D-E8E753619F3C} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-10-12] (Shanghai Guangle Network Technology Ltd) <==== UWAGA Task: {F43D8B4D-30F4-4F84-9744-02ABF2FAE382} - System32\Tasks\Chtisriropy Renew => C:\Program Files (x86)\Hzocult\detught.exe [2016-10-12] (Glarysoft Ltd) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Tcpip\..\Interfaces\{278113f7-8e6e-4ef4-9979-f7ea34593993}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{9a09523d-76ef-11e6-a54d-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f38d7eb6-4b2a-45c1-b419-54cb4fa7c1ed}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% CHR HomePage: Profile 2 -> hxxp://www.mystartsearch.com/?type=sy&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412 CHR StartupUrls: Profile 2 -> "hxxp://www.mystartsearch.com/?type=hp&ts=1434641622&z=f67b43f16ba5c60eafc3566g5zdc8zbq8zageqco4q&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412","hxxp://www.mystartsearch.com/?type=hppp&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131207683642326213&GUID=A5398763-DE7D-448E-B204-226BC1CE32FA HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2224646682-2379115363-2177298087-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2224646682-2379115363-2177298087-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} FirewallRules: [{5B41EDAA-57A8-49EC-891A-0374D4A8EDF0}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{431AF16F-D728-4155-A416-CEF9A1F4AE8B}] => (Allow) C:\Users\Radek\AppData\Local\Temp\is-63UA0.tmp\download\MiniThunderPlatform.exe FirewallRules: [{9DA86F76-960D-47EF-A589-CDBA4928018D}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\żěŃą C:\Program Files (x86)\00000000-1476269399-0000-0000-4CCC6A653515 C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\Hzocult C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\Microleaves C:\Program Files (x86)\WeatherChickn C:\ProgramData\service.exe C:\ProgramData\Logic Handler C:\ProgramData\NetworkPacketManitor C:\ProgramData\Thunder Network C:\ProgramData\Quoteexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\TOSTACK C:\Users\Public\Thunder Network C:\Users\Radek\AppData\Local\00000000-1476301844-0000-0000-4CCC6A653515 C:\Users\Radek\AppData\Local\app C:\Users\Radek\AppData\Local\Rukutyvition C:\Users\Radek\AppData\Local\UCBrowser C:\Users\Radek\AppData\Local\Tempfolder C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Radek\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Radek\AppData\Roaming\*.* C:\Users\Radek\AppData\Roaming\AzigcWig C:\Users\Radek\AppData\Roaming\Cjotionplaratain C:\Users\Radek\AppData\Roaming\gplyra C:\Users\Radek\AppData\Roaming\Hemkajdoa C:\Users\Radek\AppData\Roaming\KuaiZip C:\Users\Radek\AppData\Roaming\Microleaves C:\Users\Radek\AppData\Roaming\Mozilla C:\Users\Radek\AppData\Roaming\NVIDIA C:\Users\Radek\AppData\Roaming\Softlink C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage C:\Users\Radek\Desktop\AutoTime.lnk C:\Users\Radek\Desktop\żěŃą.lnk C:\Windows\system32\Drivers\bsdpf64.sys C:\Windows\system32\Drivers\bsdpr64.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Usuń linię CreateRestorePoint: ze skryptu i powtórz zadania.

Prócz Tencent, jest tu problem z profilami przeglądarek (wstawione przez adware fałszywki) oraz infekcja DNS po stronie Windows (pobierany niemiecki adres IP). Do wyrzucenia też odpadki po odinstalowanych programach i różne puste skróty. Działania do przeprowadzenia: 1. Odinstaluj: Apple Software Update, Java 8 Update 45, Maxthon Cloud Browser, Obsługa programów Apple, QuickTime 7, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables. QuickTime nie jest bezpieczny i Apple zupełnie usunęło wsparcie dla Windows: KLIK. Maxthon jest związany z aferą z prywatnością: KLIK. A te dwa ostatnie wpisy to odpadki po deinstalacji AVG. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17919.214\QMGCShellExt64.dll [2016-09-25] (Tencent) Task: {4B4ACDBA-E90D-4CD4-B756-70DBBA7D43E3} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Andreas\AppData\Roaming\Adobe\Manager.exe Task: {93A0D3AC-8958-416C-B2FA-5D4D8AFDD3F1} - System32\Tasks\Microsoft\Windows\Multimedia\ReportSender => C:\Users\Andreas\ReportSender\ReportSender.exe MSCONFIG\startupreg: Aeria Ignite => "C:\Program Files (x86)\Aeria Games\Ignite\aeriaignite.exe" silent MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Andreas\AppData\Local\Akamai\netsession_win.exe" MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" MSCONFIG\startupreg: HDD Regenerator => "C:\Program Files (x86)\HDD Regenerator\Shell.exe" /1 MSCONFIG\startupreg: QuickTime Task => "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime Tcpip\..\Interfaces\{2866DB9B-8AEA-4BE5-B1AA-D81C9A3801EF}: [NameServer] 108.61.178.207,45.32.152.160 Tcpip\..\Interfaces\{C5583357-F018-4248-976E-82712DB93ABA}: [NameServer] 108.61.178.207,45.32.152.160 GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3424310977-905981195-1643685065-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3424310977-905981195-1643685065-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3424310977-905981195-1643685065-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f AlternateDataStreams: C:\ProgramData\Microsoft:B51K78KwGpK5R1vAWBfZ50JQlA [2460] AlternateDataStreams: C:\ProgramData\Microsoft:hrWjInlZ0odOqBZMx [550] AlternateDataStreams: C:\ProgramData\Microsoft:pqNH2aCI5PMsyQx6HqE [2068] AlternateDataStreams: C:\ProgramData\Microsoft:sChghMnNGRhLWYDHhkxyz8ab6qh [2366] C:\KRECYCLE C:\Program Files\CyberGhost 5 C:\Program Files\CyberGhost VPN C:\Program Files\FreeFixer C:\Program Files\Reason C:\Program Files (x86)\4ovgyw7i C:\Program Files (x86)\eclvab0f C:\Program Files (x86)\kingsoft C:\Program Files (x86)\Tencent C:\Program Files (x86)\UnHackMe C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\kdesk C:\ProgramData\Kingsoft C:\ProgramData\ProductData C:\ProgramData\RegRun C:\ProgramData\Tencent C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2\ASIO4ALL v2 Off-Line Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIcodec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cakewalk\Studio Instruments\SI-*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Creative C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DigiDesign\Plug-Ins\FocusRite D2\Digidesign Plug-Ins Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FXpansion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iLok License Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\DDLY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\Neutron C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mokafix Audio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\reFX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SynthMaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC Electronic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webplugin.exe C:\Users\Andreas\AppData\Local\{F05CE88F-EBBE-427D-97BD-F9D62CB16428} C:\Users\Andreas\AppData\Local\FreeFixer C:\Users\Andreas\AppData\Local\Kingsoft C:\Users\Andreas\AppData\Local\Redetaingrimither C:\Users\Andreas\AppData\Local\UCBrowser C:\Users\Andreas\AppData\LocalLow\IObit C:\Users\Andreas\AppData\Roaming\*.* C:\Users\Andreas\AppData\Roaming\FreeFixer C:\Users\Andreas\AppData\Roaming\IObit C:\Users\Andreas\AppData\Roaming\Kingsoft C:\Users\Andreas\AppData\Roaming\Tencent C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12 (64bit).lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KORG C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Metric Halo\Manual.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nomad Factory C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overloud\TH2\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Positive Grid C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steinberg HALionOne\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Two Notes Audio Engineering C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12 (64bit).lnk C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CPUID CPU-Z.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CyberGhost 5.lnk C:\Users\Andreas\Documents\MAGIX\Audio & Music Lab 2016 Premium\_Demo.LNK C:\Users\Andreas\Documents\RegRun2 C:\Users\Andreas\Favorites\GG dysk.lnk C:\Users\Andreas\Links\GG dysk.lnk C:\Windows\libeay32.dll C:\Windows\libcurl.dll C:\Windows\ssleay32.dll C:\Windows\winstart.bat C:\Windows\zlib1.dll C:\Windows\IObit C:\Windows\system32\ffnd.exe C:\Windows\SysWOW64\CONFIG.NT C:\Windows\SysWOW64\AUTOEXEC.NT CMD: ipconfig /flushdns CMD: netsh advfirewall reset Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Aracity /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiało fałszywe profile w przeglądarkach Google Chrome i Firefox. Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj nową osobę. Uruchom Chrome na tym profilu, następnie poprzedni wyświetlany jako user0 skasuj w opcjach. Firefox: Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > wklej poniższą komendę i ENTER. W menedżerze profilów usuń wszystkie widoczne i załóż nowy, zaloguj się na niego. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Tak, bo skrypt FRST się w ogóle nie wykonał... Proszę otwórz plik Fixlog i porównaj z moim postem. Nie wiem jakim sposobem, ale zdewastowałeś całe formatowanie skryptu (wycięte wszystkie slesze w ścieżkach i dwukropki w komendach, więc FRST nie zintepretował zawartości). Powtarzaj zadanie.

+ Pominęłeś wcześniej tę informację. To istotny fragment wskazujący, że zostały wykryte naruszenia systemu plików. Nie jest wykluczony problem z dyskiem twardym. 1. Dostarcz logi utworzone przez checkdisk. Start > Uruchom > eventvwr i w sekcji Aplikacja wyszukaj wszystkie rekordy Winlogon oznaczone numerem 1001. Na każde ze zdarzeń dwuklik, by pobrać Właściwości i przekopiuj detale zdarzenia. 2. Dostarcz też skany dysku pod kątem sprzętowym: KLIK.

Log z wyszukiwania ogromny, bo fraza "Opera" występuje także we wpisach zupełnie niepowiązanych (np. "Operational", "Operatingsystem"). Opera nie wyrejestrowała się ze skojarzeń. Akcje pod tym kątem: 1. Załaduj do FRST skrypt fixlist.txt o postaci: DeleteKey: HKLM\SOFTWARE\Classes\Opera.Extension DeleteKey: HKLM\SOFTWARE\Classes\Opera.HTML DeleteKey: HKLM\SOFTWARE\Classes\Opera.Image DeleteKey: HKLM\SOFTWARE\Classes\Opera.Protocol DeleteKey: HKLM\SOFTWARE\Classes\Opera.Widget DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42042206-2D85-11D3-8CFF-005004838597}\Old Icon\Opera.HTML DeleteKey: HKLM\SOFTWARE\Clients\Mail\Opera DeleteKey: HKLM\SOFTWARE\Clients\News\Opera DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\opera.exe DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\opera_plugin_wrapper.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Opera.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Opera Software DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Extension DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.HTML DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Image DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Protocol DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Widget DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\DOMStorage\opera.com DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\DOMStorage\www.opera.com DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\59a455f0_0 DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\9233d7d6_0 DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.abw\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.air\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.doc\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.docx\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rtf\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtm\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Opera Software Reg: reg delete HKLM\SOFTWARE\Classes\.bmp\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.gif\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.htm\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.html\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.jpeg\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.jpg\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.mht /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.mht\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.mhtml /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.mhtml\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.oga\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogg\OpenWithProgIds /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogv\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.png\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.torrent\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.webm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.xbm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.xht\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtm /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtm\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtml\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xml\OpenWithProgids /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Clients\Mail /ve /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\RegisteredApplications /v "Opera Internet Browser" /f Reg: reg delete HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartmenuInternet /ve /f Reg: reg delete "HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Opera\Opera.exe" /f Reg: reg delete "HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Users\user\Desktop\Opera_1101_int_Setup.exe" /f 2. Następnie ustaw wybraną inną przeglądarkę jako domyślną.

Notatnik zawsze jest ustawiony na domyślny zapis w ANSI, co nie ma znaczenia dla tego jak logi produkuje FRST. FRST tworzy pliki na dysku w kodowaniu UTF-8 i taki format kodowania powinien być zachowany, niezależnie czy sobie kopiujesz pliki między folderami. Ja pytam czy plik otwierałeś ręcznie, przeklejałeś treść i ponownie zapisywałeś do nowego pliku (wtedy domyślne ANSI Notatnika owszem ma znaczenie). A pytam stąd, że już po raz trzeci widzę tu na forum jeden z logów FRST wytworzony ze złym kodowaniem i jeśli logi nie były manipulowane ręcznie, jest jakiś problem z FRST.

Temat przenoszę do działu Windows, brak oznak infekcji. Pobierałeś lewy skaner Reimage, z daleka od tego dziadostwa, to program wątpliwej reputacji często instalowany metodami "PUP". (Microsoft Corporation) C:\Windows\System32\dllhost.exe Podobny temat: KLIK. Proces dllhost.exe (COM Surrogate) to proces systemowy związany m.in. z renderowaniem miniatur w eksploratorze i jego okresowa obecność w procesach jest normalna. Na jego obecność mogą wpływać zainstalowane programy zewnętrzne manipulujące w skojarzeniach plików czy kodekach. I posiadasz conajmniej dwa programy mające wpływ na tę sferę, czyli Adobe Photoshop CC 2015 i Camtasia Studio 8. Wątek infekcji "COM Surrogate" bierze się stąd, że użytkownicy kompletnie nie rozumieją o co chodzi z tą infekcją i przypisują jej również obecność poprawnych wystąpień procesu. Rzecz z infekcją polegała na tym, że była tworzona w systemie alternatywna szkodliwa klasa miniatur w HKCU kierująca na plik infekcji, przebijającą tę poprawną klasę w HKLM, i skutkująca tworzeniem szkodliwych instancji procesu dllhost (na systemie 64-bit były to 32-bitowe wystąpienia z SysWOW64 a nie 64-bitowe z system32). W Twoich raportach zero oznak tej infekcji, nie ma w Addition (CustomCLSID) takiego wpisu. Windows Phone app for desktop (HKLM-x32\...\{99759E36-8961-43DC-A7E6-4601D6AEF166}) (Version: 1.1.2726.0 - Microsoft Corporation) Jaki widzisz błąd? Spróbuj usunąć dane instalacyjne programu za pomocą Program Install and Uninstall Troubleshooter. PS. W spoilerze do wykonania tylko kosmetyczne działania polegające na usunięciu wpisów pustych (po aktualizacji z Windows 7 do Windows 10 i jakieś inne drobnostki).

Czy ten pierwszy Fixlog z Administratora to był oryginalny plik utworzony przez FRST na dysku i jego zawartość nie była zapisywana ponownie ręcznie przez Ciebie? Plik ma złe kodowanie (ANSI) i uszkodzone polskie fonty... 1. Będąc na Administratorze przez SHIFT+DEL (omija Kosz) skasuj z dysku poniższe foldery: C:\FRST C:\Program Files\MyFree Codec C:\Users\Administrator\AppData\Local\WSHelper ... oraz po kolei z Pulpitów obu kont narzędzia logów i ich logi. 2. Również z poziomu Administratora wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Podobne instrukcje z wyłączaniem Wi-fi tutaj: KLIK. A tu inne instrukcje: KLIK. Ale pytaniem jest czy na Androidzie obecnie występują jakieś przekierowania? AdwCleaner nie jest zbyt mądry i szuka wg określonych wzorów nazw, nie skanuje obiektów tak jak antywirus. Ten folder "KW" oraz plik DOC to fałszywe alarmy, reszta natomiast to elementy odpadkowe po instalacjach adware. Wyklucz te dwa ścieżki z usuwania, a następnie zastosuj sekwencję Skanuj + Oczyść. Upewnij się, że z dysku zniknęły te foldery: C:\Program Files (x86)\Opera C:\ProgramData\Opera C:\Users\user\AppData\Local\Opera C:\Users\user\AppData\Roaming\Opera Dodatkowo uruchom FRST, w polu Szukaj (Search) wpisz słowo Opera i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt, o ile będą jakieś wyniki. Na pewno bez związku z czyszczeniem. Jeśli mamy podejrzewać software, to najbardziej rzuca się w oczy instalacja Kasperskiego. W Dzienniku zdarzeń są też takie niesprecyzowane błędy, trudno mi ustalić powód zawieszeń IE: Dziennik Aplikacja: ================== Error: (10/07/2016 04:51:26 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program IEXPLORE.EXE w wersji 11.0.9600.18450 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji. Identyfikator procesu: 980 Godzina rozpoczęcia: 01d220a96d160abb Godzina zakończenia: 255 Ścieżka aplikacji: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE Identyfikator raportu: 799c785d-8c9d-11e6-8c1b-18f46af68560 Error: (10/06/2016 11:38:05 AM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: ) Description: Z powodu wystąpienia problemu dane Programu poprawy jakości obsługi klienta nie zostały wysłane do firmy Microsoft. (Błąd 80004005).

Skasuj zdysku plik C:\delfix.txt. To wszystko. Temat zamykam. Jeśli pojawi się jakaś nowa informacja w kwestii zakodowanych plików, zgłoszę się tu.

Nitmanie, to na koniec wyczyść foldery Przywracania systemu. Instrukcje pod tym samym linkiem co DelFix.