picasso

Co z poprzednim tematem (KLIK) - zamknąć? Jeśli chodzi o bieżący system, działa adware. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: RegClean-Pro, Rocket, SafeFinder Smartbar, WSE Rocket. - Stare wersje: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader XI - Polish, Java 7 Update 60 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.02.5636706; C:\ProgramData\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8\maintainer.exe [123680 2014-11-04] () R1 {7e4355b8-96cd-43eb-b59a-82af29f01b16}w; C:\Windows\System32\drivers\{7e4355b8-96cd-43eb-b59a-82af29f01b16}w.sys [43200 2014-10-29] (StdLib) S0 BMLoad; system32\drivers\BMLoad.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S1 tcpipBM; \??\C:\Windows\system32\drivers\tcpipBM.sys [X] Task: {614C29BC-EF42-48E5-B7BE-E739491F8174} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files\RCP\RegCleanPro.exe [2014-07-16] (RCP) Task: {6288A457-9E0A-476E-8A90-6BD09A326B24} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files\RCP\RegCleanPro.exe [2014-07-16] (RCP) Task: {B823A028-E70D-41CB-AF72-3EE9ED729221} - System32\Tasks\RegClean Pro => C:\Program Files\RCP\RegCleanPro.exe [2014-07-16] (RCP) Task: {EA0787D3-1CEB-4C9D-BCB0-F8C55A3C221B} - System32\Tasks\Rocket Updater => C:\Users\Asus\AppData\Roaming\RocketUpdater\UpdateProc\UpdateTask.exe [2013-05-02] () Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\Rocket Updater.job => C:\Users\Asus\AppData\Roaming\ROCKET~1\UPDATE~1\UPDATE~1.EXE GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9ho0X2xYDGc_QKYgplvE5AaQJzeB2jLGE-NmAMe2pSqyMGjluaNMH2Lwui4h00BhpjYKICu2Pnpv-lsq1y9QEQ5ND3aP10UZdhn9oleyYVod4v05SvQQ_TEYpag8GxERTDYS_NHRY0Y1w4w2KPvEauee6zxqPpc6yLbww,,&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9ho0X2xYDGc_QKYgplvE5AaQJzeB2jLGE-NmAMe2pSqyMGjluaNMH2Lwui4h00BhpjYKICu2Pnpv-lsq1y9QEQ5ND3aP10UZdhn9oleyYVod4v05SvQQ_TEYpag8GxERTDYS_NHRY0Y1w4w2KPvEauee6zxqPpc6yLbww,,&q={searchTerms} SearchScopes: HKLM - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://rocket-find.com/results.php?f=4&q={searchTerms}&a=rckt_ir_14_30_ch&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0EtCtD0Czz0CyB0BtA0BtAtN0D0Tzu0SzytAzztN1L2XzutAtFtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0ByCyC0DyCyCyDtG0AyDyB0CtGyCtCzyzytGtBtBzy0BtGyBtDzyzzyB0ByDtAzy0AyCtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0D0A0E0EyEyDtAtGtDzyzz0BtG0CyD0DtBtGtB0CtAzytGyByB0CtC0D0DyCtCzz0F0F0F2Q&cr=34284458&ir= SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://rocket-find.com/results.php?f=4&q={searchTerms}&a=rckt_ir_14_30_ch&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0EtCtD0Czz0CyB0BtA0BtAtN0D0Tzu0SzytAzztN1L2XzutAtFtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0ByCyC0DyCyCyDtG0AyDyB0CtGyCtCzyzytGtBtBzy0BtGyBtDzyzzyB0ByDtAzy0AyCtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0D0A0E0EyEyDtAtGtDzyzz0BtG0CyD0DtBtGtB0CtAzytGyByB0CtC0D0DyCtCzz0F0F0F2Q&cr=34284458&ir= SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_25_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0EtCtD0Czz0CyB0BtA0BtAtN0D0Tzu0SzytDtBtN1L2XzutBtFtBtCtFyEtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0CyEyC0CtD0D0AtGtB0FyDyDtGyC0E0E0CtGzztB0D0FtGtAyCtAyB0FtB0FzzzytDyE0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0D0A0E0EyEyDtAtGtDzyzz0BtG0CyD0DtBtGtB0CtAzytGyByB0CtC0D0DyCtCzz0F0F0F2Q&cr=745011580&ir= SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://feed.helperbar.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5HzGso_TVx83Je_T_BzMLRIWufTx2Q_wNtRzzyCUETChR6PtXKymOTNCsIJaq9GTUIA2kFiHjYtwzpuW0XgZC2U2bwL1UuZDksHE8Xtk2OIVbg5kqWU6p4gVmMR5BRbXSu9iIEEhwIjhv8cZ7_bB-Q,,&q={searchTerms} SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9ho0X2xYDGc_QKYgplvE5AaQJzeB2jLGE-NmAMe2pSqyMGjluaNMH2Lwui4h00BhpjYKICu2Pnpv-lsq1y9QEQ5ND3aP10UZdhn9oleyYVod4v05SvQQ_TEYpag8GxERTDYS_NHRY0Y1w4w2KPvEauee6zxqPpc6yLbww,,&q={searchTerms} SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9ho0X2xYDGc_QKYgplvE5AaQJzeB2jLGE-NmAMe2pSqyMGjluaNMH2Lwui4h00BhpjYKICu2Pnpv-lsq1y9QEQ5ND3aP10UZdhn9oleyYVod4v05SvQQ_TEYpag8GxERTDYS_NHRY0Y1w4w2KPvEauee6zxqPpc6yLbww,,&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_25_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0EtCtD0Czz0CyB0BtA0BtAtN0D0Tzu0SzytDtBtN1L2XzutBtFtBtCtFyEtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0CyEyC0CtD0D0AtGtB0FyDyDtGyC0E0E0CtGzztB0D0FtGtAyCtAyB0FtB0FzzzytDyE0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0D0A0E0EyEyDtAtGtDzyzz0BtG0CyD0DtBtGtB0CtAzytGyByB0CtC0D0DyCtCzz0F0F0F2Q&cr=745011580&ir= SearchScopes: HKCU - {67B8B507-6308-4F8C-9088-BB9F905A8E16} URL = https://www.google.com/search?q={searchTerms} SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://feed.helperbar.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5HzGso_TVx83Je_T_BzMLRIWufTx2Q_wNtRzzyCUETChR6PtXKymOTNCsIJaq9GTUIA2kFiHjYtwzpuW0XgZC2U2bwL1UuZDksHE8Xtk2OIVbg5kqWU6p4gVmMR5BRbXSu9iIEEhwIjhv8cZ7_bB-Q,,&q={searchTerms} BHO: SafeFinder SmartbarEngine -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> C:\Windows\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM - SafeFinder Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\system32\mscoree.dll (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-3886030683-2889538507-278638460-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Users\Asus\AppData\Local\Rocket\Application\31.0.1650.23\delegate_execute.exe (Fast Browsers) C:\Program Files\Deal Keeper C:\Program Files\RCP C:\ProgramData\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\Users\Asus\AppData\Local\Pay-By-Ads C:\Users\Asus\AppData\Local\Rocket C:\Users\Asus\AppData\Local\Smartbar C:\Users\Asus\AppData\Roaming\{6f5d0382-9e3f-36f0-bd24-a17e270b8543} C:\Users\Asus\AppData\Roaming\AVG C:\Users\Asus\AppData\Roaming\AVG2014 C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Rocket.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Search.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Search.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocket C:\Users\Asus\AppData\Roaming\RocketUpdater C:\Users\Asus\AppData\Roaming\Systweak C:\Users\Asus\AppData\Roaming\TuneUp Software C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Asus\Desktop\Rocket.lnk C:\Users\Asus\Desktop\Search.lnk C:\Users\Asus\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Public\Desktop\RegClean Pro.lnk C:\Windows\System32\roboot.exe C:\Windows\System32\drivers\{7e4355b8-96cd-43eb-b59a-82af29f01b16}w.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Infrastructure Helper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /f Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Asus\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Asus\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Asus\AppData\Local CMD: dir /a C:\Users\Asus\AppData\LocalLow CMD: dir /a C:\Users\Asus\AppData\Roaming CMD: netsh advfirewall reset CMD: sc config "Internet Manager. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Cóż, jest tu adware. Na czas wszystkich operacji wyłącz Gdata. Akcja: 1. Przez Panel sterowania odinstaluj adware, zbędniki i stare dziurawe aplikacje: Adobe Reader 9.5.5 MUI, Amazon Browser Bar, Amazon Browser Settings, Ask Toolbar, Ask Toolbar Updater, AVG Nation toolbar, BatBrowse 1.0.0, Bonanza Deals (remove only), DriverScanner, eBay Worldwide, Foxtab, Google Chrome, Java™ 6 Update 20 (64-bit), Java™ 6 Update 37, Trojan Remover 6.8.8. Przed deinstacją Google Chrome wyeksportuj zakładki (o ile potrzebne). Jeśli coś nie będzie widoczne lub zwróci błąd, nie szkodzi, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Allin1Convert_8hService; C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hbarsvc.exe [42504 2013-08-30] (COMPANYVERS_NAME) R2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [1735968 2013-10-31] () [File not signed] S1 {a459d632-5225-4bb9-9a0b-002544d16f6e}w64; system32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys [X] HKLM\...\Run: [Allin1Convert Home Page Guard 64 bit] => C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\AppIntegrator64.exe [548936 2013-08-30] () HKLM-x32\...\Run: [Allin1Convert_8h Browser Plugin Loader] => C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hbrmon.exe [30096 2013-08-30] (VER_COMPANY_NAME) AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found Task: {051031EA-7CCD-4F44-A180-DA5A45F9098A} - System32\Tasks\{41AABDDA-6983-4023-8785-8B8379BC1BB6} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.116/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:notoffered;systemlevelpresent Task: {053D9714-A6A2-4891-888B-0FB1D414E67E} - System32\Tasks\{CDF1E170-8A8A-4714-838E-D1E20797FE5E} => C:\Users\christian\Desktop\SkypeSetupFull.exe Task: {0D999B41-7067-4354-BB6F-2F16AEF65C46} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-03] (BonanzaDeals) Task: {16A2C9DA-D3B9-4956-8058-C743E916F00F} - System32\Tasks\{83659710-90E2-4A81-A996-FA0DF6D2E81B} => C:\Fraps\fraps.exe Task: {1741D5B8-5AFA-4620-A47F-C3FFB5B7B164} - System32\Tasks\{0DC1AD20-79FC-4345-9F79-E96054A6D759} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.120/de/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:notoffered;systemlevelpresent Task: {27256352-5B41-4CB2-9FAA-6979882DDD31} - System32\Tasks\{BBAC4AD7-9DA3-4F18-A4AB-C0C7C397EE11} => C:\Users\christian\Desktop\SkypeSetupFull.exe Task: {6106B20A-A005-4177-95B9-C8830F1AE1A8} - System32\Tasks\{76D655E7-BFAB-41A1-9BF3-E778248B936E} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.120/de/exitsurvey Task: {6E35F6B2-FDDD-4F12-8BDF-2ABDFF73B3BB} - System32\Tasks\dsmonitor => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe Task: {6F7A2BC4-11A8-49EC-AB3B-B32FCD682B78} - System32\Tasks\{713DAC28-13BE-4346-B34A-4A023A4B2D5E} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.3.0.120.259&LastError=404 Task: {7102BCCE-E470-439B-92B0-D4F1023E9938} - System32\Tasks\Plus-HD-1.3-firefoxinstaller => C:\Program Files (x86)\Plus-HD-1.3\Plus-HD-1.3-firefoxinstaller.exe Task: {74FDE5AA-7F49-44D1-B18D-9C89599DD9E7} - System32\Tasks\Advanced System Protector_startup => C:\Program Files (x86)\Advanced System Protector\AdvancedSystemProtector.exe Task: {7BEFCE49-6107-4A29-BC8D-17D4BC966C8B} - System32\Tasks\{B22DB34B-A53F-4A37-9A7A-002EA2331E3F} => C:\Fraps\fraps.exe Task: {81EFE518-B054-4195-9053-564163AD0BDF} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {960B9373-59E6-4CC8-B792-BC8F7B1D021B} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2013-04-25] () Task: {A273F50D-711D-4F2B-B358-635268266DDB} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-03] (BonanzaDeals) Task: {CB0D2CDD-BED6-44A6-842E-1B304D472EBB} - System32\Tasks\FoxTab => C:\Users\CHRIST~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: {FCF78FA7-32C3-44AD-BEE4-AE372F026985} - System32\Tasks\Plus-HD-1.3-chromeinstaller => C:\Program Files (x86)\Plus-HD-1.3\Plus-HD-1.3-chromeinstaller.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\dsmonitor.job => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\CHRIST~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Plus-HD-1.3-chromeinstaller.job => C:\Program Files (x86)\Plus-HD-1.3\Plus-HD-1.3-chromeinstaller.exe Task: C:\Windows\Tasks\Plus-HD-1.3-firefoxinstaller.job => C:\Program Files (x86)\Plus-HD-1.3\Plus-HD-1.3-firefoxinstaller.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bing Maps 3D.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 ShortcutWithArgument: C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 ShortcutWithArgument: C:\Users\Public\Desktop\Bing Maps 3D.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amazon.de/gp/bit/amazonserp/ref=bit_bds-p23_serp_ie_de_display?ie=UTF8&tagbase=bds-p23&tbrId=v1_abb-channel-23_1414a3b8b3e94b5fa1bcbfa772eec1c7_39_1006_20131001_DE_ie_sp_ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 URLSearchHook: HKCU - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll (MindSpark) StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE SearchScopes: HKLM - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 SearchScopes: HKLM-x32 - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm070^YYA^de&si=flvrunner&ptb=0047B3E8-E7F5-41A0-AC2F-DF6F928AB630&ind=2013083007&n=77fd357f&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3317932&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP86E4DE0E-8236-4836-A044-0C8F9696F770&q={searchTerms}&SSPV= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3317932&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP86E4DE0E-8236-4836-A044-0C8F9696F770&q={searchTerms}&SSPV= SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1380287928&type=default&q={searchTerms} SearchScopes: HKCU - {5A332F15-7221-4B36-A50D-F5A42523B616} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=de_DE&apn_ptnrs=U3&apn_dtid=OSJ000YYDE&apn_uid=61B9972B-509C-4617-A983-035F057E8A66&apn_sauid=AB323668-2548-45BC-9109-BA4F5AABA877 SearchScopes: HKCU - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm070^YYA^de&si=flvrunner&ptb=0047B3E8-E7F5-41A0-AC2F-DF6F928AB630&ind=2013083007&n=77fd357f&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://avg.nation.com/avgtbavg/search/web?cid={4305E9CE-A4EB-4661-B09C-C24C515BFC3E}&mid=dbe8ea484b2547d3a0a6a113f0ae76c5-15e6f5bac83b61bf5c9a7534a6d553a0660df19c&lang=de&ds=AVG&coid=avgtbavg&pr=pr&d=2013-11-24 18:50:42&v=17.0.0.12&pid=nation&sg=0&sap=dsp&q={searchTerms} BHO-x32: Search Assistant BHO -> {a4c2fb10-84c3-44eb-9f9e-860fa1d9a797} -> C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll (MindSpark) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {CD1A63BA-A08C-431B-9A34-F240AADC728D} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File C:\Program Files (x86)\GUTB710.tmp C:\Program Files (x86)\GUMB700.tmp C:\Program Files (x86)\Advanced System Protector C:\Program Files (x86)\Allin1Convert_8h C:\Program Files (x86)\Amazon C:\Program Files (x86)\Amazon Browser Bar C:\Program Files (x86)\Ask.com C:\Program Files (x86)\BatBrowse C:\Program Files (x86)\BonanzaDealsLive C:\Program Files (x86)\Common Files\AVG Secure Search C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Plus-HD-1.3 C:\Program Files (x86)\SearchProtect C:\ProgramData\2433f433 C:\ProgramData\qwssxinyepgdpuw C:\ProgramData\btdytxjcqreuqbr C:\ProgramData\uxtnjhbeqxicuta C:\ProgramData\dbacabdccccfdgfdgfdgdfg.cfg C:\ProgramData\dbacabdccccfdgfdgfdgdfg.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced System Protector C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Remover C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue C:\ProgramData\Temp C:\Users\christian\AppData\Local\{*} C:\Users\christian\AppData\Local\*.tmp C:\Users\christian\AppData\Local\Mozilla C:\Users\christian\AppData\Local\Google\Chrome C:\Users\christian\AppData\Roaming\d C:\Users\christian\AppData\Roaming\.# C:\Users\christian\AppData\Roaming\.minecraft C:\Users\christian\AppData\Roaming\393F795B C:\Users\christian\AppData\Roaming\amazon C:\Users\christian\AppData\Roaming\FoxTab C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DriverScanner.lnk C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals C:\Users\christian\AppData\Roaming\Mozilla C:\Users\christian\AppData\Roaming\Picyin C:\Users\christian\AppData\Roaming\Poegy C:\Users\christian\AppData\Roaming\Simply Super Software C:\Users\christian\AppData\Roaming\Systweak C:\Users\christian\AppData\Roaming\TeamViewer C:\Users\christian\AppData\Roaming\Template C:\Users\christian\AppData\Roaming\TuneUp Software C:\Users\christian\AppData\Roaming\Uniblue C:\Users\christian\AppData\Roaming\URSoft C:\Users\christian\AppData\Roaming\Waufte C:\Users\christian\AppData\Roaming\Zeon C:\Users\christian\Desktop\Google Chrome.lnk C:\Users\christian\Desktop\T O O L S\DriverScanner.lnk C:\Users\christian\Desktop\T O O L S\Trojan Remover.lnk C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\DefaultAppPool\AppData\Roaming\TuneUp Software C:\Users\Public\AlexaNSISPlugin.5152.dll C:\Users\Public\Desktop\eBay.lnk C:\Users\Public\Desktop\Google Chrome.lnk RemoveDirectory: C:\Users\MAX Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\christian\AppData\Local CMD: dir /a C:\Users\christian\AppData\LocalLow CMD: dir /a C:\Users\christian\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. .

Dostosuj się do zasad działu: KLIK. Podałeś tylko log z przestarzałego OTL (i to tylko jeden, dodatkowy Extras, a nie główny). Dostarcz obowiązkowe logi z FRST i GMER. Logi proszę umieść w formie załączników forum, a nie na serwisach wklejkowych.

MrLegutek, założyłeś temat w dziale diagnostyki infekcji, a nie dostosowałeś się w ogóle do zasad działu: KLIK. Wymagane są raporty systemowe. Dostarcz obowiązkowe logi z FRST i GMER, a dodatkowo także Farbar Service Scanner.

Jest tu owszem adware i na dodatek Google Chrome (stara wersja) to typ development a nie stabilna (prawdopodobnie adware wykonało konwersję przeglądarki). Aczkolwiek widać także uszkodzenia w systemie - mnóstwo usług i sterowników Microsoftu jest oznaczonych jako niepodpisanych cyfrowo. Możliwe, że tu się klaruje reinstalacja całego systemu... System zaś nie wygląda na oryginalny, widać że był instalowany z przerobionego via nLite nośnika. Jeśli chodzi o adware i śmieci, doraźnie przeprowadź następujące akcje: 1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe aplikacje i zbędniki: Adobe Reader 9 - Polish, Google Chrome, Java 7 Update 21, Java™ 6 Update 26, McAfee Security Scan Plus. Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 5ba659a8; c:\Program Files\GS_Booster\AssistantSvc.dll [174928 2014-09-17] () [File not signed] Task: C:\WINDOWS\Tasks\GS_Booster-S-3061371028.job => c:\documents and settings\all users\dane aplikacji\trusted publisher\gs_booster\GS_Booster.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://newtab.certified-toolbar.com/nie?si=41460&tid=2938&new=true" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q={searchTerms} SearchScopes: HKCU - 61A3D2A79BCB483F9085CDB5AB87E3BC URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3320613AS_5SZ0Q3F5XXXX5SZ0Q3F5&ts=7143525 SearchScopes: HKCU - {1ED1EF60-C199-455E-95D9-9D772C5E1762} URL = http://www.we-dwoje.pl/szukaj,0.html?q={searchTerms} SearchScopes: HKCU - {CC0F0B46-AC72-434F-9880-D1649E12BA46} URL = http://szukaj.gazeta.pl/portalSearch.do?&s.sm.query={searchTerms}&s.si(navigation).navigationEnabled=true&search_r=serwis&dxx=97130&VE_szukaj={searchTerms}&szuk=gazeta&ile=10&b=&q= SearchScopes: HKCU - {CEB034C8-B330-4245-BC3B-F552587FB9D2} URL = http://wizaz.pl/content/advancedsearch?SearchText={searchTerms}&SearchContentClassID=&SearchPageLimit=5 SearchScopes: HKCU - {DBB580AE-E05D-400D-BFC3-817ED8D968EA} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000STPL&apn_uid=B799E016-B9E4-40AF-BC02-6BD1B4B6595A&apn_sauid=EA7094E3-EDC0-4031-915C-FA6758C1C408 Toolbar: HKCU - No Name - {00000000-0000-0000-0000-000000000000} - No File HKLM\...\Run: [] => [X] HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\...\Run: [ares] => "C:\Program Files\Ares\Ares.exe" -h HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\...\Run: [ChomikBox] => C:\Program Files\ChomikBox\chomikbox.exe HKLM\...\Run: [NBKeyScan] => "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 vToolbarUpdater14.0.1; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe [X] S3 catchme; \??\D:\Temp\catchme.sys [X] S3 esihdrv; \??\D:\Temp\esihdrv.sys [X] S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X] CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\UZYTKO~1\Pulpit\BESTPL~1.EXE No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users\Dane aplikacji\6ffdd72f11393e14 C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\whoislive C:\Documents and Settings\Jakub\Dane aplikacji\Opera Software C:\Documents and Settings\Uzytkownik\sqlite3.dll C:\Documents and Settings\Uzytkownik\Dane aplikacji\maxup C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla C:\Documents and Settings\Uzytkownik\Dane aplikacji\Opera C:\Documents and Settings\Uzytkownik\Dane aplikacji\Opera Software C:\Documents and Settings\Uzytkownik\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\GS_Booster C:\Program Files\Google C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\sqlite3.dll Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc stop cryptsvc CMD: ren C:\Windows\system32\catroot2 catroot2.old EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Documents and Settings\Uzytkownik\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Uzytkownik\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. W systemie są trzy czynne konta: Administrator (S-1-5-21-1177238915-1060284298-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Jakub (S-1-5-21-1177238915-1060284298-1801674531-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Jakub Uzytkownik (S-1-5-21-1177238915-1060284298-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Uzytkownik Dostarczone tu były logi z konta Użytkownik, potrzebne także logi z konta Jakub. Po kolei zaloguj się na każde konto poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan (zaznacz pole Addition, ale nie Shortcut, by powstały po dwa logi na konto). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

sandal23rx, nie dostosowałeś się do zasad działu: KLIK. Podany mierny zestaw raportów, OTL to przestarzałe narzędzie. Proszę uzupełnij obowioązkowe logi z FRST i GMER.

Logi proszę umieszczaj jako załączniki forum - wstawiłam. FRST główny nie został skonfigurowany zgodnie z instrukcją, sekcje Drivers MD5 i List BCD nie miały być zaznaczone - wycięłam te linie z raportu. Był używany ComboFix i na przyszłość: KLIK. Problemem nie jest infekcja w systemie i tu nie pomogą żadne skanery, problemem jest zainfekowany router. Ten pierwszy adres IP jest szkodliwy, niemiecki: KLIK. Tcpip\Parameters: [DhcpNameServer] 5.175.225.133 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez Panel sterowania odinstaluj stare oraz zbędne aplikacje: Adobe Reader 8, Browser Configuration Utility, Spybot - Search & Destroy. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1951097551-1211598341-2891729207-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {474BFF2A-FD34-4dde-AEED-08141CEB8141} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKCU - {1CDE10F6-A1B7-4b18-87FB-5357165A887E} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKCU - {474BFF2A-FD34-4dde-AEED-08141CEB8141} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" CMD: ipconfig /flushdns CMD: type C:\ComboFix.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Apps Hat i reklamy to nie jedyny problem, w systemie działa też infekcja robak Gamarue. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [45973] => C:\ProgramData\Local Settings\Temp\msquzu.cmd [56416 2012-09-20] ( (Microsoft Corporation)) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-29] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-29] (globalUpdate) [File not signed] Task: {C83C69E5-D7D6-4876-926F-F0D107DFF6D8} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-29] (globalUpdate) Task: {E50A09E5-71A1-47E9-9683-6F21C6A5A535} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-29] (globalUpdate) Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) BHO: Apps Hat -> {11111111-1111-1111-1111-110411851159} -> C:\Program Files (x86)\Apps Hat\Apps Hat-bho64.dll No File C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Local Settings C:\Users\arekw77\AppData\Local\globalUpdate C:\Users\arekw77\AppData\Local\Mobogenie C:\Users\arekw77\Downloads\*(*)-dp*.exe Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Codec Pack Packages" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IPLA! /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yontoo Desktop" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NTRedirect /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v sidebar /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "OpenOffice.org 3.4.1.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Zune Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RemoteControl10 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v DivXMediaServer /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tuto4pc_pl_16 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\arekw77\AppData\Local CMD: dir /a C:\Users\arekw77\AppData\LocalLow CMD: dir /a C:\Users\arekw77\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie FoxTrick trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Stosowałeś wątpliwy program YAC (Yet Another Cleaner) - z daleka od niego. Czyszczenie systemu nie pomoże, tu nie ma bowiem infekcji w Windows per se, zainfekowany jest router. Poniższe adresy nie są polskie: KLIK. Tcpip\Parameters: [DhcpNameServer] 31.3.252.77 31.3.252.83 Wdróż te akcje: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /s HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: localhost:8080 BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\SysWOW64\Macromed\Flash\NPSWF32_15_0_0_189.dll No File FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL No File FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: {1DEC1943-4208-4DEF-BBF6-093DC14E8A8E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {943B5257-30C9-4D45-B829-8DAA21AE3DFF} - System32\Tasks\{423CA1DB-DBA8-4466-A874-9BF303C5D2A3} => C:\Program Files (x86)\Reason\Should I Remove It\ShouldIRemoveIt.exe BootExecute: autocheck autochk * sdnclean64.exe S3 btmaux; system32\DRIVERS\btmaux.sys [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] S3 intaud_WaveExtensible; system32\drivers\intelaud.sys [X] S3 iwdbus; system32\DRIVERS\iwdbus.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:A03fO0CG8Z2xc4OPOJMs AlternateDataStreams: C:\ProgramData\Microsoft:IoH0vafAntLUCSYvq93Bcj AlternateDataStreams: C:\ProgramData\Microsoft:kcsfiNCXziUY4Ym0oKuS8ebCp4 AlternateDataStreams: C:\Users\Maciej Skrzypiec\AppData\Local\Temp:Dn5bA7i8kvgo2aNls C:\Program Files\AVAST Software C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Google C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\AVAST Software C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\YTD Video Downloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\Maciej Skrzypiec\AppData\Local\23694 C:\Users\Maciej Skrzypiec\AppData\Local\Google C:\windows\system32\log C:\windows\system32\Drivers\etc\hosts.*.backup C:\windows\System32\Tasks\Safer-Networking C:\windows\SysWOW64\sqlite3.dll Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W Firefox jest niepożądane rozszerzenie symulujące Flash Player. Ponadto, widzę tu też jakieś podejrzane polityki Google i Internet Explorer. Był używany SpyHunter - to wątpliwy program, od którego należy trzymać się z daleka. FF Extension: Flash Player - C:\Users\Dorota\AppData\Roaming\Mozilla\Firefox\Profiles\xs6ffdcd.default\Extensions\M1uwW0@47z8gRpK8sULXXLivB.com.xpi [2014-11-01] EDIT: Proszę następnym razem informuj o zakładaniu tematu na innym forum (KLIK). Poniższe instrukcje zostają więc zedytowane i dostosowane do tego co już zrobiono, fałszywy "Flash Player" nadal jest w Firefox. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 C:\Program Files\Enigma Software Group C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\log Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, DownloadHelper i McAfee SafeKey) trzeba będzie przeinstalować, przy czym ten McAfee to się prawdopodobnie samoistnie doda ponownie (działa w tle pakiet McAfee). 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. .

SpyHunter to program wątpliwej reputacji. Posługujesz się przestarzałym FRST pozbawionym nowych skanów, komend i innych poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 31-08-2014 (ATTENTION: ====> FRST version is 65 days old and could be outdated) Nie wiem skąd go pobrałaś, ale nie wygląda na to, że ze strony domowej programu (jedyny autoryzowany link w całym internecie). Proszę pobierz najnowszą wersję z linka w przyklejonym i zrób na nowo wszystkie trzy logi FRST: KLIK. .

W systemie ładuje się usługa adware "VideoCnv", która uruchamia własny plik DLL za pomocą systemowego procesu rundll32.exe. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 fa6789c5; c:\program files (x86)\VideoCnv\Zet.dll [3752448 2014-10-27] () [File not signed] S2 AODDriver4.2; \??\C:\Program Files (x86)\GIGABYTE\ET6\amd64\AODDriver2.sys [X] U3 AppMgmt; No ImagePath U2 CscService; No ImagePath S3 ESEADriver2; \??\C:\Users\Milosz\AppData\Local\Temp\ESEADriver2.sys [X] U3 PeerDistSvc; No ImagePath Task: {3E558270-F2B8-46C6-A5E1-4489715C591D} - System32\Tasks\Auslogics\BoostSpeed\Start BoostSpeed оn Milosz logon => C:\Program Files (x86)\Auslogics\BoostSpeed\BoostSpeed.exe Task: {FB07518A-87E5-47FF-9FCF-F97A79985898} - System32\Tasks\MSIAfterburner => C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe HKU\S-1-5-21-2669467967-2915321183-38771872-1000\...\MountPoints2: {92b76c49-4df4-11e3-b21e-94de807a69c1} - F:\setup.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao.dashi.com FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\VideoCnv C:\Windows\System32\Tasks\Auslogics EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Skoryguj DNS w Windows, gdyż ten drugi adres nie jest polski. Instrukcje: KLIK. Tcpip\..\Interfaces\{9FE891B3-8212-4F7F-8BB2-09103A011424}: [NameServer] 194.204.159.1,74.82.42.42 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Problemem są odpadkowe wpisy po odpiętych już dyskach (np. przenośnych). Nie jest to szczególny problem i to już zostawmy w spokoju. Adware przekonfigurowało skróty LNK przeglądarek dopisując otwieranie tej szczególnej strony. Wdróż następujące działania: 1. Na początek oinstaluj stare wersje i zbędniki: Adobe Flash Player ActiveX, Adobe Reader 9.1 - Polish, Java 7 Update 67, Java™ 6 Update 7, McAfee Security Scan Plus, OpenOffice.org Installer 1.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\oem\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401465415&from=wpc&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = about:blank HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401465415&from=wpc&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - Backup.Old.DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} SearchScopes: HKLM - {768D0F96-8B0E-7DFF-8E53-5B93D52C3275} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091 SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtBtBtCyDtCyB0B0C0B0BtA0BtDyCtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1675312693 SearchScopes: HKLM - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms} SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - Backup.Old.DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} SearchScopes: HKCU - 35EF8322F42D4BCD99DC083745EEFE15 URL = http://isearch.avg.com/search?cid={AF6C28BE-BD48-47D1-AE4E-3DFFA628C2C8}&mid=780cad32e5dfd6bfdeebcc3df246f663-34e985a55237710ff26fa09697eaaa4fc353a451&lang=pl&ds=AVG&pr=fr&d=2012-06-10 08:17:52&v=11.1.0.7&sap=dsp&q={searchTerms} SearchScopes: HKCU - {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=b80f3b0600000000000000221517bcbb&tlver=1.4.19.19&ss=1&affID=17981 SearchScopes: HKCU - {28DC2F23-8DD3-4332-A7CE-BCDA9CBEC507} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=994519&p={searchTerms} SearchScopes: HKCU - {768D0F96-8B0E-7DFF-8E53-5B93D52C3275} URL = SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKCU - {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKLM - No Name - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKCU - No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File Task: {380A623B-0272-4DD9-B87A-116A35AC290C} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {4176E6CD-46C2-47E3-882C-D801122242E4} - System32\Tasks\Opera D4 => C:\Program Files\Opera\launcher.exe Task: {652CED9F-ABA2-4258-B80D-2C9D10A0157A} - System32\Tasks\e-pity2012_styczen => H:\Ja\e-pity2012\signxml.exe Task: {ACA175B9-B474-45C2-9B92-1FAEE73906BD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe Task: {B6A8A52C-CAE7-4177-9EA3-B9F3B91EDF7B} - System32\Tasks\e-pity2012_kwiecien => H:\Ja\e-pity2012\signxml.exe Task: {C62496AA-7462-40FF-B43E-991E5C4EE519} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: {E1E3955D-6403-4CEA-9FFB-1668EE6BE0E4} - \Funmoods No Task File Task: {E694FDBE-70BD-4AF5-A065-EF49E5B44553} - System32\Tasks\Opera D2 => C:\Program Files\Opera\launcher.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe S2 AVTasks2; C:\PROGRA~1\ArcaBit\Common\ARCATA~1.EXE [X] C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\pswi_preloaded.exe C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Local\prvlcl.dat C:\Users\oem\AppData\Local\Google C:\Users\oem\AppData\Roaming\*.exe C:\Users\oem\AppData\Roaming\AutoUpdate C:\Users\oem\AppData\Roaming\AVG2014 C:\Users\oem\AppData\Roaming\Babylon C:\Users\oem\AppData\Roaming\DAEMON Tools C:\Users\oem\AppData\Roaming\DAEMON Tools Lite C:\Users\oem\AppData\Roaming\Desktopicon C:\Users\oem\AppData\Roaming\eMule C:\Users\oem\AppData\Roaming\F-Secure C:\Users\oem\AppData\Roaming\Funmoods C:\Users\oem\AppData\Roaming\LimeWire C:\Users\oem\AppData\Roaming\Listonosz C:\Users\oem\AppData\Roaming\maxup C:\Users\oem\AppData\Roaming\mystartsearch C:\Users\oem\AppData\Roaming\Onet C:\Users\oem\AppData\Roaming\OpenFM C:\Users\oem\AppData\Roaming\Opera Software C:\Users\oem\AppData\Roaming\pl.com.bebiko.widgetbebiko.35EA91C6F98F4F5A01FBE12E388378AD6D359940.1 C:\Users\oem\AppData\Roaming\Systweak C:\Users\oem\AppData\Roaming\temp C:\Users\oem\AppData\Roaming\TuneUp Software C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\roboot.exe C:\Windows\system32\sqlite3.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BabylonToolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CafeNews" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Załaduj fixlist.txt do FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /t REG_SZ /d "res://ieframe.dll/tabswelcome.htm" /f RemoveDirectory: C:\AdwCleaner

Tylko, że YAC to także wątpliwy program: KLIK. Podtrzymuję: proszę dostarcz dane.

Tym razem wszystko poszło sprawnie. Teraz: Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner.

Sprawdź transfer dysku. Sprawa rozpisana w wątku Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Większość operacji wykonana, ale był problem ze skasowaniem zadań z Hrmonogramu. Poprawki. Otwórz Notatnik i wklej w nim: Task: {C97C5433-76B4-4364-8E8F-3185484BE531} - System32\Tasks\RocketTab => C:\Windows\system32\cmd.exe [2010-11-21] (Microsoft Corporation) Task: {D6F03F95-BC4F-44AC-AEFD-96AD3A9FC9B7} - System32\Tasks\RocketTab Update Task => C:\Program Files (x86)\Search Extensions\uninstall.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {F15C06CF-4F8D-41EF-9E5B-1B4E492B98B2} - System32\Tasks\{188A75D0-A367-46C6-A784-9DBEE6A8FB84} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/en/go/help.faq.installer?source=lightinstaller&LastError=1618 C:\Program Files\Enigma Software Group C:\Program Files (x86)\GreenTree Applications C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\Happy2SAAVeo C:\ProgramData\ijacghhikfpcfmoeliihbaoohjbiiplj C:\ProgramData\NeewSavverr C:\ProgramData\RanidaoemPPrice C:\ProgramData\Trusted Publisher C:\Users\Tim\AppData\Local\Chromatic Browser C:\Users\Tim\AppData\Local\Comodo C:\Users\Tim\AppData\Local\Torch C:\Users\Tim\AppData\Roaming\OpenCandy C:\Users\Tim\AppData\Roaming\SendSpace Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy plik fixlog.txt. .

W tej sytuacji podejrzenia budzi ESET Smart Security - zresztą okropnie stary z roku 2009 i tak należy się go pozbyć. Odinstaluj go całkowicie, następnie przejdź w Tryb awaryjny i popraw narzędziem ESET Uninstaller. Podaj czy jest poprawa po usunięciu.

Wszystko wykonane i możemy kończyć. Usuń z Pobranych GMER oraz Pulpitu foldery FRST i Stare dane programu Firefox. Następnie zastosuj DelFix. To tyle.

Wg raportów w systemie nie było śladów infekcji. Wyłączanie antywirusa nie jest dowodem na obecność infekcji, a brak powiadomień Centrum może np. występować, gdy BitDefender nie jest integrowany z Centrum (błąd rejestracji WMI). Dla świętego spokoju możesz zrobić nowe logi z FRST (włącznie z Addition pokazującym rejestracje WMI w Centrum) i GMER. .

Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście BlueSprig Toolbar v9.7 > Dalej. Konto możesz oczywiście usunąć, jeśli nie jest potrzebne. .

Akcje pomyślnie wykonane. Kończymy: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\Windows\DB847E94446B49E0AC5DC5627EC8B0C0.TMP DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj systemowy Internet Explorer z wersji IE8 do IE11. .

Problem stanowi wpis "CMD" w starcie uruchamiający stronę "extendedunlimited.org". Prócz tego są inne odpadki adware. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2008462518-3471571786-2155850046-1000\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit S2 248642b4; c:\Program Files (x86)\PC_Booster\AssistantSvc.dll [174928 2014-08-04] () [File not signed] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] CMD: type C:\Windows\System32\Tasks\RocketTab Task: {C97C5433-76B4-4364-8E8F-3185484BE531} - System32\Tasks\RocketTab => C:\Windows\system32\cmd.exe [2010-11-21] (Microsoft Corporation) Task: {D6F03F95-BC4F-44AC-AEFD-96AD3A9FC9B7} - System32\Tasks\RocketTab Update Task => C:\Program Files (x86)\Search Extensions\uninstall.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {F15C06CF-4F8D-41EF-9E5B-1B4E492B98B2} - System32\Tasks\{188A75D0-A367-46C6-A784-9DBEE6A8FB84} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/en/go/help.faq.installer?source=lightinstaller&LastError=1618 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://astromenda.com/?f=1&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = SearchScopes: HKCU - DefaultScope {A9CBE41D-2036-4DE3-BECE-586D3C8D53C0} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321537&octid=EB_ORIGINAL_CTID&ISID=M2B5B9ABB-3605-494C-823F-D03D06A4C54F&SearchSource=58&CUI=&UM=6&UP=SP09B49DD0-2C7A-41EE-A6A1-198E8A4C28B8&q={searchTerms}&SSPV= SearchScopes: HKCU - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = https://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} SearchScopes: HKCU - {A9CBE41D-2036-4DE3-BECE-586D3C8D53C0} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File CHR StartMenuInternet: Google Chrome - chrome.exe C:\Program Files (x86)\CoupExteinsioN C:\Program Files (x86)\NextCoup C:\Program Files (x86)\PC_Booster C:\ProgramData\.windows.sys C:\ProgramData\71c2c357dfa911ca C:\ProgramData\APN C:\ProgramData\CoupExteinsioN C:\ProgramData\GoSaave C:\ProgramData\NextCoup C:\ProgramData\PriCeCHoopo C:\ProgramData\TakkeTHeCouPon C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\msdownld.tmp C:\Windows\SysWOW64\setup.exe RemoveDirectory: C:\Users\Tim\Desktop\FRST-OlderVersion Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BRS" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{248642b4} /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tim\AppData\Local CMD: dir /a C:\Users\Tim\AppData\LocalLow CMD: dir /a C:\Users\Tim\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Owszem, adware jest w systemie: rozszerzenie "PodoWeb" w Firefox oraz usługa "maintainer.exe". Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-11-02] () C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\Program Files (x86)\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany) i ten log z MBAM pokazujący co wcześniej było usuwane. Wypowiedz się czy widzisz pozytywne zmiany w systemie. .