picasso

Poprawiłam post, logi załadowałam jako załączniki. Logi FRST utworzone na innych ustawieniach niż tu zalecane - opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. W systemie nadal kupa adware, w tym fałszywy Firefox oraz szkodliwe profile sfabrykowane przez adware w Google Chrome. Przeglądarki zasadnicze już odinstalowałaś, ale trzeba usunąć wszystko co się z nimi wiąże i co nadal jest na dysku przed jakąkolwiek próbą świeżej instalacji. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP trotux - Uninstall, WebShield, YAC(Yet Another Cleaner!), youndoo - Uninstall, sponsorów programów Adobe Intel Security True Key, McAfee Security Scan Plus oraz zbędny skaner UnHackMe 8.20. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń odpadkowy wpis Google Update Helper. Jeśli pojawią się jakieś błędy deinstalacji, kontynuuj dalej. Po deinstalacjach zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: md C:\Users\sapphire\Desktop\Default CMD: xcopy /e "C:\Users\sapphire\AppData\Local\Google\Chrome\User Data\Default" C:\Users\sapphire\Desktop\Default R2 CommandHandler; C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exe [273792 2016-09-22] () R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [634240 2016-09-22] () R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [65344 2016-09-09] (Windows ® Win 7 DDK provider) R1 ZipProtect; c:\program files\ziptool\ZipProtect64.sys [886512 2015-12-14] () R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [448216 2016-09-23] () R2 ziphost; c:\program files\ziptool\ziphost.dll [114080 2015-11-30] () S2 AnofotionCollector; C:\Program Files (x86)\Arlutherdergudom\kaeentthohodomCln.dll [X] S2 BossseedP; "C:\ProgramData\Bossseed\Bossseed.exe" [X] S2 BossseedU; "C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe" [X] S4 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe [X] S2 kyrukeze; C:\Program Files (x86)\B7108380-1473359882-11DD-82E4-544249E5FE56\knsf4DA2.tmpfs [X] S4 Ronzap; C:\ProgramData\\Ronzap\\Ronzap.exe shuz -f "C:\ProgramData\\Ronzap\\Ronzap.dat" -l -a S2 W3PCC; C:\ProgramData\Sun\Java\extension.dll [X] Task: {23F5B8EF-D209-4801-B32E-2E6BDF8EDDE6} - System32\Tasks\Pusertainchaspy Verfier => C:\Program Files (x86)\Prmutprpersp\coorly.exe Task: {308CED45-0976-4BC1-B3AC-6E10AF06467C} - System32\Tasks\Anofotion Collector => C:\Program Files (x86)\Gronuchcoaregh\bemition.exe Task: {5BE323E0-9FC2-4E67-9790-C4D78660343C} - System32\Tasks\svchost => C:\Users\sapphire\AppData\Local\Temp\is-0FDOQ.tmp\51490.exe [2016-09-08] () Task: {75160D15-CB01-4350-B902-2A795E16F5CD} - System32\Tasks\BossseedUpdateTaskMachineCore => C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe Task: {9BA8316B-EFA9-47B0-BD08-0CDC5D65AEBF} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe Task: {A00DB0C3-C879-48AD-A08E-5F9534A0BA05} - System32\Tasks\BossseedUpdateTaskMachineUA => C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe Task: {C3CBEF8A-E4FA-4202-8C0D-F6B7E2459C79} - System32\Tasks\Windows Update => C:\Users\sapphire\AppData\Local\CD9DCA50F69BEAD828E2E5354D572080\0.exe Task: {C860E78B-9F2D-4B42-8A2E-13B1102DDDEC} - System32\Tasks\sapphireCorrelativesSupplicatesV2 => Rundll32.exe SegueAsocial.dll,main 7 1 Task: {D4C5E7E5-D3B2-4C30-8F25-C9B5E99D35B2} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\b5f56BD\ttt5759.bat HKLM\...\Run: [iDSCCOMBF8] => "C:\Program Files (x86)\EasyHotspot\idsccom_BF8.exe" HKLM\...\Run: [WINCOMRGP] => "C:\Program Files (x86)\mpck\wincom_RGP.exe" HKLM\...\Run: [WINCOM87F] => "C:\Program Files (x86)\sunnyday\wincom_87F.exe" HKLM\...\Run: [WINCOMDJ8] => "C:\Program Files (x86)\sunnyday\wincom_DJ8.exe" HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [msiql] => C:\Users\sapphire\AppData\Local\Temp\00007934\msiql.exe [1883648 2016-09-30] () HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [installer] => C:\Users\sapphire\AppData\Local\Temp\is-0FDOQ.tmp\51490.exe [1839616 2016-09-08] () HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [apphide] => C:\Program Files (x86)\sbqh\uc.exe HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [A3OHSAXR5M] => C:\Program Files (x86)\DPower\2ELHZ0PK38.exe [369664 2016-09-09] () AppInit_DLLs: C:\ProgramData\Ronzap\Zumma-Stock.dll => No File AppInit_DLLs-x32: C:\ProgramData\Ronzap\Nimlotphase.dll => No File ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] () Tcpip\..\Interfaces\{07300d4d-dd11-45f5-864d-4a427d8f8308}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{3a8e9636-7657-4740-bf77-b5657e26be82}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{58787d0e-d1df-4ed2-a723-72b576849f1e}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{672f06aa-4298-11e6-a913-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{adfe9d2c-689d-487d-a37c-e102d7dddc35}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{cb56a687-0c49-11e6-a90e-806e6f6e6963}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: GroupPolicy: Restriction - Chrome HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb96ajHGUlzk5ih4DcjNaWYfvX5oVdX26cFIWfo3tQ5haeD14wahIsNKHtXKxrErjRa0pUfPjiPZoGXuetDuV8bBn6g,, HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2363097785-2004616086-4135544681-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2363097785-2004616086-4135544681-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\Program Files\ZipTool C:\Program Files (x86)\DPower C:\Program Files (x86)\Google C:\Program Files (x86)\Firefox C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WinSaber C:\ProgramData\Avg C:\ProgramData\Firefox C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress C:\Users\sapphire\AppData\Local\app C:\Users\sapphire\AppData\Local\Bossseed C:\Users\sapphire\AppData\Local\CD9DCA50F69BEAD828E2E5354D572080 C:\Users\sapphire\AppData\Local\CEF C:\Users\sapphire\AppData\Local\CorrelativesSupplicates C:\Users\sapphire\AppData\Local\csdi_monetize_120160908 C:\Users\sapphire\AppData\Local\Google C:\Users\sapphire\AppData\Local\Firefox C:\Users\sapphire\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\sapphire\AppData\Local\Mozilla C:\Users\sapphire\AppData\Local\tuto_monetize_120160908 C:\Users\sapphire\AppData\Local\Qaperrydawesh C:\Users\sapphire\AppData\Local\Sterily C:\Users\sapphire\AppData\Local\Tempfolder C:\Users\sapphire\AppData\Local\Voqawardwagise C:\Users\sapphire\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\sapphire\AppData\LocalLow\Company C:\Users\sapphire\AppData\LocalLow\Youtube AdBlock C:\Users\sapphire\AppData\LocalLow008A4970 C:\Users\sapphire\AppData\LocalLow000001DE00A192C8 C:\Users\sapphire\AppData\Roaming\*.* C:\Users\sapphire\AppData\Roaming\AzigcWig C:\Users\sapphire\AppData\Roaming\Firefox C:\Users\sapphire\AppData\Roaming\Hemkajdoa C:\Users\sapphire\AppData\Roaming\KuaiZip C:\Users\sapphire\AppData\Roaming\Mozilla C:\Users\sapphire\AppData\Roaming\PriceFountainUpdateVer C:\Users\sapphire\AppData\Roaming\Softlink C:\Users\sapphire\AppData\Roaming\UPUpdata C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\allegro.pl.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Booking.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\926bab762de45057\Google Chrome.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\sapphire\AppData\Roaming\Microsoft\Word\Moja%20praca305460652907711261\Moja%20praca.docx.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Word\Wzor_streszczenia305460694268576394\Wzor_streszczenia.doc.lnk C:\Users\sapphire\Downloads\*-dp*.exe C:\Users\sapphire\Downloads\*.crdownload C:\Users\sapphire\Downloads\*.swf C:\Users\sapphire\Downloads\*keygen*.* C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Users\Public\Documents\chrome C:\Users\Public\Thunder Network C:\Users\MSUser.Default C:\Users\MSUser.Default\Help_3 C:\Users\MSUser.Default\Help_4 C:\Users\MSUser.Default\Help_5 C:\Users\MSUser.Default\Help_6 C:\WINDOWS\Joberphlusisp C:\WINDOWS\Ogiedplofipy C:\WINDOWS\system32\Drivers\bsdpf64.sys C:\WINDOWS\system32\Drivers\bsdpr64.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\KuaiZipDrive2.sys C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\findit.xml C:\WINDOWS\SysWOW64\kz.exe CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\sapphire\AppData\Local CMD: dir /a C:\Users\sapphire\AppData\Local\Apps\2.0 CMD: dir /a C:\Users\sapphire\AppData\LocalLow CMD: dir /a C:\Users\sapphire\AppData\Roaming CMD: type "C:\ProgramData\AVAST Software\AVAST\exclusions.ini" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Bossseed;Firefox Na razie nie instaluj ani Google Chrome, ani Firefox. Na Pulpicie utworzyłam folder Default do którego skopiowałam ciągle obecny na dysku pierwotny folder profilu Chrome już nie interpretowany przez Chrome - to w nim przypuszczalnie są zakładki i będziemy potem próbować je odtwarzać w świeżo zainstalowanych Chrome.

Problemem jest infekcja DNS w Windows, poniższy adres IP jest rosyjski. Poza tym w systemie różne drobne odpadki adware. Tcpip\..\Interfaces\{343a5120-dc9b-4b3c-bea3-990830fdc54d}: [NameServer] 188.120.239.115,8.8.8.8 Działania do przeprowadzenia. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{343a5120-dc9b-4b3c-bea3-990830fdc54d}: [NameServer] 188.120.239.115,8.8.8.8 Task: {1CB189FB-9C6E-44DE-A212-503F13561DC2} - \Y2Go\Updater\Y2GoUpdater -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go S2 NMSAccessU; C:\Users\Grzegorz Strojecki\AppData\Local\Temp\{CBBB362F-32A0-486D-BE1F-F0558B374B8F}\NMSAccessU.exe [X] AlternateDataStreams: C:\WINDOWS\system32\nvir3dgenco64.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\Drivers\nvstusb.sys:$CmdTcID [130] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Desktop\mp4.43speed80ke436e4367f18d242121b634fa5d12d7d76e2:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ALLConverterPRO.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ALLConverterPRO.exe:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ALLPlayerPL.exe:$CmdTcID [130] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ALLPlayerPL.exe:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Bloody6_V2016.0722A_US.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Cassadaga - Strefa duchw (2011) Lektor PL 720p - video w cdapl.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ccsetup520.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ccsetup520.exe:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\changelog.txt:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\DIABOLICZNY PRZELADOWCA 2015 Horror Sci-Fi 720p - video w cdapl.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Dirty Dancing (1987) Lektor PL.flv:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Display Driver Uninstaller.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\dokidoki.cht:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\dokidoki.frm:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\dokidoki.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\DriverEasy_Setup.exe:$CmdTcID [130] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Egzorcyzmy Molly Hartley [2015] LEKTOR PL 720p - video w cda.pl (1).mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\FreemakeVideoConverterFull.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\FreemakeVideoConverterFull.exe:$CmdZnID [29] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\GPU-Z.1.10.0.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\GPU-Z.1.10.0.exe:$CmdZnID [29] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\JavaSetup8u101.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\JavaSetup8u101.exe:$CmdZnID [29] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Las samobjcw 2016 LEKTOR PL 720p - video w cdapl.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\license.txt:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\madVR.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\MPC-HC.1.7.10.x64.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\MPC-HC.1.7.10.x64.exe:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\MSIAfterburnerSetup.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\nox_setup_v3.7.1.0_full_En_pokemon_0801.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\nox_setup_v3.7.1.0_full_En_pokemon_0801.exe:$CmdZnID [29] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Pandorum (2009) Lektor PL 720p - video w cdapl.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Piramida.mp4:$CmdTcID [130] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Piramida.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\readme.txt:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\SmartyUninstaller4.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\SmartyUninstaller4.exe:$CmdZnID [29] C:\FFOutput C:\Program Files\File Recovery C:\Program Files\KMSpico C:\Program Files\VideoLAN C:\Program Files (x86)\Auslogics C:\Program Files (x86)\FormatFactory C:\Program Files (x86)\Y2Go C:\ProgramData\Auslogics C:\ProgramData\RadiantViewer C:\ProgramData\simplitec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\No Mans Sky C:\ProgramData\Microsoft\Windows\Start Menu\Programs\simplitec C:\TOSTACK C:\Users\Grzegorz Strojecki\AppData\Local\CEF C:\Users\Grzegorz Strojecki\AppData\Local\RadiantViewer C:\Users\Grzegorz Strojecki\AppData\Local\Xara C:\Users\Grzegorz Strojecki\AppData\LocalLow\IObit C:\Users\Grzegorz Strojecki\AppData\Roaming\AVAST Software C:\Users\Grzegorz Strojecki\AppData\Roaming\HelloGames C:\Users\Grzegorz Strojecki\AppData\Roaming\SimpleTV V03 C:\Users\Grzegorz Strojecki\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\Grzegorz Strojecki\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\Grzegorz Strojecki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Grzegorz Strojecki\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word305463562755046178\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk C:\Users\Grzegorz Strojecki\Documents\MAGIX\Music Maker 2016 Live\_Demos.LNK C:\Users\Grzegorz Strojecki\Documents\MAGIX\Music Maker\_Demos.LNK C:\Users\Grzegorz Strojecki\Downloads\*-dp*.exe C:\Users\Grzegorz Strojecki\Downloads\*www.INSTALKI.pl*.exe C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.dll Folder: C:\WINDOWS\Microsoft Antimalware Folder: C:\WINDOWS\system32\GroupPolicy Folder: C:\WINDOWS\system32\GroupPolicyUsers Folder: C:\WINDOWS\SysWOW64\GroupPolicy Folder: C:\WINDOWS\SysWOW64\GroupPolicyUsers CMD: for /d %f in ("C:\Users\Grzegorz Strojecki\AppData\Local\Temp*") do rd /s /q "%f" CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Klawisz z flagą Windows + R > certmgr.msc > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > usuń certyfikat Y2Go, o ile nadal będzie widoczny na liście. 3. Zostały usunięte zdefektowane skróty Chrome, Opera i IE skierowane na nieistniejący już folder adware. Odtwórz ręcznie skróty w wybranych miejscach. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąp[iły.

Nie dodałeś obowiązkowego raportu z GMER, a tu jak najbardziej zasadny. W systemie ofensywne sterowniki Shopperz działające w technice rootkit (FRST nie ma do nich dostępu): KLIK. A prócz tego także kupa innych instalacji adware, w tym infekcja DNS oraz całkowicie podmieniony profil Chrome (wstawiony przez adware, nie ma już w systemie poprawnego poprzedniego profilu). Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware groover, HPSewil, trotux - Uninstall. W przypadku błędów deinstalacji kontynuuj dalej. 2. Uruchom Zemana AntiMalware. Usuń wszystko co wykryje program i zapisz log z usuwania. Po usuwaniu zresetuj system. 3. W Google Chrome wymagane stworzenie nowego profilu od zera. CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML, o ile jest cokolwiek do eksportowania (brak poprzedniego poprawnego proflu). Ustawienia > karta Ustawienia > Osoby > usuń widoczną tam osobę, następnie Dodaj nową osobę i otwórz okno Chrome na nowym profilu, okna poprzedniego zamknij. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz GMER. Dołącz też plik fixlog.txt i raport utworzony przez Zemana.

O jakie reklamy chodzi (podaj przykładowe adresy), przy próbie otwierania jakich stron? Dodatkowe pytanie: widzę, że adresy DNS pobierane z routera zostały ustawione na Google, czy to znaczy że był wcześniej problem z infekcją routera? W raportach nic oczywistego, ale podejrzenia budzą rozszerzenia domontowane wtórnie do Google Chrome. Pomijając preinstalowane, udokumentowane jako nieszkodliwe oraz ze starą datą instalacji wyróżniają się te dwa: CHR Extension: (YouTube To MP3!) - C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgdohmjplligggendhbmghhmpphabopi [2016-03-06] CHR Extension: (YouTube to MP3) - C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\Default\Extensions\lkjpddnhjcjcjehifbekjknkfcpgbpek [2016-09-14] Występuje dwa razy, druga kopia zamontowana bardzo niedawno we wrześniu. Rozszerzenie to zostało z niejasnych powodów usunięte z Chrome Web Store. Działania do przeprowadzenia: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj YouTube To MP3! + YouTube to MP3. 2. Poboczne sprzątanie szczątków, głównie po aktualizacji z Windows 7 do Windows 10. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U3 idsvc; Brak ImagePath DisableService: PLAY INTERNET. RunOuc Task: {0597D9AA-C5B0-4C51-9DB8-3C3E4C2347AD} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {067D6D51-618D-4965-92A9-E0D572AAD2CA} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {09131807-72D0-4833-B047-73C97CBF25CE} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {14DA9EE2-D99E-4A53-98D3-4213F1585732} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {166237D8-4983-4545-B56F-FCBCFB698EBB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {1E967BCB-C38E-4CB1-B317-9817CA32ED0C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {1EE7CF53-F82B-43D6-A7BF-1C3DED3BD69E} - Brak ścieżki do pliku Task: {216FA13A-342C-4386-BB17-0B6E10E94A21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {25948CB3-8FB6-4ACF-8E6C-795C8B005881} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {2EF4320A-D357-4952-B26A-C94011C9CD84} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {38017F8A-CD71-473D-AB65-8332A1B84589} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {3929D257-9A74-4E42-9447-D7A522628EA7} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {59560FC6-D883-425D-8707-7738FBC7E89E} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {59700317-7125-480D-9051-7CEAD2BFEB26} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6666FAE3-45C3-4247-80E9-44350A51A3BE} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {7322F6B0-7096-4E18-B298-BB2D69EDA823} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Brak pliku Task: {73A1EA6B-67E6-4719-A41B-F9AB9D5E36CE} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {743E9DD6-3AC6-427F-A45F-257EEF4585CF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {79D3E8C6-31A1-479B-8F55-A12F595A947B} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {7BC8AED8-B945-44D2-9C5C-9BE143D097FD} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {7C8027B6-5A0E-4A0C-93E6-0CE3A9AA98ED} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {80C87EBA-C47A-4C3A-97D2-A23793601C6C} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {961BE552-564C-49E7-8E78-307BBDFEA7DD} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {9B674956-ABF0-4FEF-820F-826EB451B195} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {9C6C0657-512F-4CCF-ADAC-6744FE3F1328} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {C9AD8535-D415-43B2-AA17-E22B42B9A22D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C9C45997-CC7E-4C04-B3C1-EC0CBA63C8EF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D274B4BB-456A-4CE0-BDDD-1696C9A87FE8} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {D8B627FE-2198-49C7-9843-8794882A461A} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {E981ABF3-B862-48D5-9FD5-ABE7FBAB26CA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {EB7DD1AA-E625-47D3-A7E9-A72B8D4CC561} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {EF57B2D1-555B-485B-9271-C6B88B8DD7D9} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {F1370BB8-A7EB-4708-BAF2-F5A92BADAE63} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {F3F205A4-CC36-490E-BF71-DD0F26C1DB20} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F908C102-5606-4365-97ED-137028889845} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {FC7825A0-FD40-4289-9CD2-7830EE925D6E} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Vuze Leap C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu rozszerzeń zChrome problem ustąpił.

Zakreślony fragment wskazuje, że chodzi tu właśnie o dane na serwerze Google zapisane przez synchronizację i ładowane lokalnie na każdy komputer na którym zostanie zalogowane konto Google. W podanych raportach FRST właściwie nic nie widać, tylko jakieś drobne szczątki po adware. Ale logi z FRST zostały zrobione z poziomu wbudowanego Administratora a nie zasadniczego konta krystian, pomimo że niby plik FRST był uruchamiany z Pulpitu krystiana: Uruchomiony przez Administrator (administrator) HP (04-10-2016 17:46:32) Uruchomiony z C:\Users\krystian.hp\Desktop ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-3185890650-2609249503-3607620972-500 - Administrator - Enabled) => C:\Users\Administrator Gość (S-1-5-21-3185890650-2609249503-3607620972-501 - Limited - Disabled) HomeGroupUser$ (S-1-5-21-3185890650-2609249503-3607620972-1002 - Limited - Enabled) krystian (S-1-5-21-3185890650-2609249503-3607620972-1003 - Limited - Enabled) => C:\Users\krystian.hp Kontekst konta całkowicie zmienia to co widać od przeglądarki w logu - na danym konciejest pokazany tylko profil przeglądarki z tego konta. Zresetuj system, zaloguj się na konto krystian i dostarcz nowe logi z FRST.

1. Wszystkie wyniki Hitman to szczątki instalacji adware/PUP. Usuń je za pomocą programu. Sam Hitman jako taki możesz zostawić do skanów na żądanie przyszłości lub skasować z dysku. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania materiał edukacyjny na co uważać: KLIK. To wszystko.

W logach FRST widać jawny crack aktywacji zamontowany: ==================== Zainstalowane programy ====================== KMSpico (HKLM\...\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1) (Version: - ) ==================== Zaplanowane zadania (filtrowane) ============= Task: {407DB201-BF0A-482C-B0CF-718148942D0E} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe ==================== Usługi (filtrowane) ==================== R2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [745664 2016-01-12] (@ByELDI) [Brak podpisu cyfrowego] ===================== Sterowniki (filtrowane) ====================== S3 WinDivert1.1; C:\Program Files\KMSpico\WinDivert.sys [35376 2016-10-04] (Basil Projects) ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2016-10-06 20:38 - 2016-10-06 20:38 - 00004608 _____ C:\Windows\SECOH-QAD.exe 2016-10-06 20:38 - 2016-10-06 20:38 - 00003584 _____ C:\Windows\SECOH-QAD.dll Nie wiem skąd on pochodzi, ale skoro komputer był w serwisie, a Ty przysięgasz że system oryginalny, to niestety podejrzenia padają na serwis. Nie jest wykluczone, że reinstalowali system z wykorzystaniem nielegalnych obejść. Rozpocznij od deinstalacji KMSpico i zresetuj system. Następnie zrób nowe raporty FRST (bez Shortcut) i wypowiedz się czy system jest nadal w stanie zaktywowanym.

W przedstawionych raportach brak jawnych oznak infekcji. Problem występuje na różnych przeglądarkach (Chrome, Opera, IE) oraz dwóch różnych komputerach. Wnioski: infekcja adserve.cpmba.se jest w routerze a nie Windows. Wprawdzie w FRST nie widać żadnych dziwnych IP pobieranych z routera, tylko wewnętrzne routera, ale to nie jest 100% dowód: Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{34C1E4AC-9043-4907-8A33-4AFB60C7718A}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{E962043B-2B7C-4984-956A-67E3F832DDED}: [DhcpNameServer] 192.168.1.1 W związku z tym proponuję reset routera do ustawień fabrycznych. 1. Zresetuj ustawienia routera do fabrycznych. Następnie zaloguj się do routera i go zabezpiecz: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Dopiero gdy router zostanie zresetowany i zabezpieczony działania poboczne: 2. Deinstalacje starych wersji i zbędnych programów: - Przez Panel sterowania: Adobe Flash Player 22 NPAPI (wersja dla nieistniejącego tu Firefoxa), Adobe Reader 8.1.0 - Polish, HP Customer Participation Program 8.0, Java 8 Update 31. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy ukryty wpis RealDownloader po odinstalowanym już RealPlayer. 3. Czyszczenie cache DNS w Windows oraz usunięcie szczątkowych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns CMD: netsh advfirewall reset BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll => Brak pliku BHO: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files\Norton AntiVirus\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2013\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku Toolbar: HKU\S-1-5-21-3206272504-2604669584-193565620-1004 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CustomCLSID: HKU\S-1-5-21-3206272504-2604669584-193565620-1004_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx <nie znaleziono> MSCONFIG\startupreg: Unattend0000000001{70EB91E7-FAAB-44A4-BA19-C0A45B228BC0} => C:\Windows\test.bat R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] () S3 npggsvc; C:\Windows\system32\GameMon.des -service [X] Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku <==== UWAGA Task: {425CDC2F-CA06-4AC2-82F5-AADDCEAAE474} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe Task: {561375CB-FF5A-417B-B297-BA73DE149581} - System32\Tasks\Microsoft\Windows\Wired\GatherWiredInfo => C:\Windows\system32\gatherWiredInfo.vbs Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA Task: {60A1F2A9-CFF3-445C-A40C-46D4C0EC9E02} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3206272504-2604669584-193565620-1004 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe Task: {90649E9F-D32C-40E2-BFB7-0C410E42D5E4} - System32\Tasks\{513A9C95-CE80-47BA-9DB4-8BC65BC1190B} => pcalua.exe -a "C:\Gry\NFS Carbon\Setup.exe" -d "C:\Gry\NFS Carbon" Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku <==== UWAGA Task: {B53BD937-B43B-4AED-AF87-6EF16B7BB7E0} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3206272504-2604669584-193565620-1004 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe Task: {B74F8835-CEC6-4949-82B7-5AF54D0D5C65} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe Task: {BF3310F4-231B-449D-A5DB-E02F539F5739} - System32\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA Task: {E5150B95-F9B4-4D5D-95A2-7EC1ACBA95F8} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\system32\gatherWirelessInfo.vbs Task: C:\Windows\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar.job => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE AlternateDataStreams: C:\Users\Hero\Downloads\Film0002.mp4:TOC.WMV [130] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\RealNetworks C:\Users\Hero\AppData\Local\Microsoft\Windows\GameExplorer\{C4919800-09EE-4FAB-BD9A-97E2258E618E} C:\Users\Hero\AppData\Local\Microsoft\Windows\GameExplorer\{9E8E125D-D485-48C5-A5AC-00EF859E269B} C:\Users\Hero\AppData\Local\Microsoft\Windows\GameExplorer\{48DE2B25-A3A2-4121-808D-5DD991D9FEBB} C:\Users\Hero\AppData\Local\Microsoft\Windows\GameExplorer\{430519F8-F13A-4EA1-8C08-B4A45E22F31D} C:\Users\Hero\AppData\Local\Mozilla C:\Users\Hero\AppData\Roaming\Mozilla C:\Windows\System32\Tasks\Norton Identity Safe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy objawy ustąpiły.

Działania do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj lewy skaner-naciągacz SpyHunter 4 oraz starą wersję Java 8 Update 73. Następnie, niezależnie od tego czy deinstalacja SpyHunter się powiedzie, zastosuj program SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 dbx; system32\DRIVERS\dbx.sys [X] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 ImprezyklasoweSeriale; "E:\Imprezy klasowe\ImprezyklasoweSeriale.exe" b48f42ba07304dd38f2ef02dfd46c678 [X] S2 SeagateSeriale; "E:\Seagate\SeagateSeriale.exe" affe6dc7e5264e7e8e5695737342bee0 [X] S2 StudiaTheSimsa; "E:\Studia\StudiaTheSimsa.exe" 3e19779b2974487e881c2174c0562504 [X] S2 TheSimsaTheSimsa; "E:\The Sims 4a\TheSimsaTheSimsa.exe" 388837891c4f496ea6203a5f71b2a421 [X] Task: {50B4887B-52FC-4620-91CA-A9034ADB7785} - System32\Tasks\Sulpurer => C:\PROGRA~1\GROOVE~1\Etiihei.bat Task: {9406760D-70C4-4672-A9EA-69F04BB3ECDE} - System32\Tasks\AutoPico Daily Restart => C:\Users\Robert\AppData\Local\Temp\RarSFX0\AutoPico.exe MSCONFIG\Services: wucotusy => 2 MSCONFIG\Services: zutuzuni => 2 HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKLM-x32\...\Run: [win_en_77] => [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions C:\Program Files (x86)\Anezoent C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\ynzs4wtz C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Robert\AppData\Local\Kesatyatertuck C:\Users\Robert\AppData\Local\MSfree Inc C:\Users\Robert\AppData\Local\UCBrowser C:\Users\Robert\AppData\Roaming\agent.dat C:\Users\Robert\AppData\Roaming\Installer.dat C:\Users\Robert\AppData\Roaming\Main.dat C:\Users\Robert\AppData\Roaming\BrowserModule C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\WINDOWS\system32\Drivers\KuaiZipDrive2.sys C:\WINDOWS\system32\Drivers\ucguard.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Wejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. W Google Chrome jest podstawiony profil ChromeDefaultData w całości sfabrykowany przez adware. To Twój jedyny profil i wymagane założenie nowego od zera i usunięcie tego szkodliwego. CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML, o ile jest cokolwiek do eksportowania (to profil którego wcześniej nie było). Ustawienia > karta Ustawienia > Osoby > usuń widoczną tam osobę, następnie Dodaj nową osobę i otwórz okno Chrome na nowym profilu, okna poprzedniego zamknij. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

1. Program z prawokliku "Uruchom jako administrator". By ograniczyć wyniki skanu, wybierz tylko ten obszar w którym jest strumień, tzn. Scan target folder (NTFS only) i wybierz C:\Users. W wynikach szukaj rekordu eLzXAceo1JHpJ06dclVDZj7KM podmontowanego na linku symbolicznym C:\Users\Pati\Cookies. Skan ten jest po to, by sprawdzić czy program widzi jaka jest zawartość strumienia (kolumna Content). 2. Druga sprawa, FRST otrzymał aktualizację i spróbuj ten strumień ponownie przetworzyć w nim. Tzn. pobierz najnowszy FRST, otwórz Notatnik i wklej w nim: AlternateDataStreams: C:\Users\Pati\Cookies:eLzXAceo1JHpJ06dclVDZj7KM [2324] ListPermissions: C:\Users\Pati\Cookies Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Konsekwencją zastosowania "porad" z niepożądanej strony usunwirusa.pl było skorzystanie z lewego skanera SpyHunter. Instrukcje te wykonałeś wcześniej niż usunięty już stąd post kierujący w to miejsce, więc nie wiadomo co było przed podjęciem działań. Dostarczone tu zestawy logów nie różnią się zasadniczo. Przekierowania startgo123.com nie są widoczne w raportach, natomiast jest aktywny MPC Cleaner, odbudował się po rzekomym usuwaniu AdwCleaner, stąd te błędy przy starcie które zgłaszasz. To szkodliwy program i pochodzi z tej samej grupy instalacyjnej adware/PUP, zakładanie osobnych wątków na jego temat zbędne. 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje z lukami: Java 8 Update 25, Java 8 Update 66. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner i wyszukaj plik deinstalacyjny. Jeśli jest obecny, prawoklik na plik i "Uruchom jako administrator". Zresetuj system. Jeśli deinstalatora nie będzie, niestety trzeba będzie podjąć się usuwania w inny sposób (potem podam te instrukcje). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {15FBD52C-7921-4441-966F-2F70B10CA870} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Keine Datei Task: {62B40ACC-EE37-48FA-8500-4FEE3F41075E} - System32\Tasks\ExpertZappingHotkeyV2 => Rundll32.exe MicrocephalicPoorer.dll,main 7 1 Task: {DE144036-80AE-4E19-B9B7-EE6AB6279202} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Keine Datei CustomCLSID: HKU\S-1-5-21-3156089239-1310930801-3429792385-1001_Classes\CLSID\{2D349E57-23E4-4A67-9624-F1DC6B65AABF}\InprocServer32 -> C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}\d3d10core.dll => Keine Datei S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-10-02] () U0 avc3; kein ImagePath S3 cpuz136; \??\C:\Users\Expert\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 X6va062; \??\C:\Windows\SysWOW64\Drivers\X6va062 [X] HKLM-x32\...\Run: [rec_en_77] => [X] HKLM-x32\...\Run: [gmsd_de_005010205] => [X] GroupPolicy: Beschränkung - Chrome CHR HKLM\SOFTWARE\Policies\Google: Beschränkung HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {D435A9F0-C159-4564-B8A4-AC9E9DCDDCEF} URL = SearchScopes: HKLM -> {1b31c9d2-7135-442b-bb93-7c002172adc6} URL = SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-edebadaf&q={searchTerms} SearchScopes: HKLM -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-edebadaf&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope Wert fehlt SearchScopes: HKU\S-1-5-21-3156089239-1310930801-3429792385-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\autoexec.bat C:\ProgramData\F863FC823BD0.dat C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0} C:\Users\Expert\AppData\Local\ZappingHotkey C:\Users\Expert\AppData\Roaming\sb78.dat C:\Users\Expert\AppData\Roaming\Setup29822.exe C:\Users\Expert\AppData\Roaming\Setup47895.exe C:\Users\Expert\AppData\Roaming\Setup55010.exe C:\Users\Expert\AppData\Roaming\Setup69424.exe C:\Users\Expert\AppData\Roaming\Setup69447.exe C:\Users\Expert\Documents\Programy\Booking.com.lnk C:\Users\Expert\Documents\Programy\Booking.URL C:\Users\Expert\Documents\Programy\Brick-Force.lnk C:\Users\Expert\Documents\Programy\BrowserAir.lnk C:\Users\Expert\Documents\Programy\Chromium.lnk C:\Users\Expert\Documents\Programy\eBay.lnk C:\Users\Expert\Documents\Programy\Hei*e Neuigkeiten.lnk C:\Users\Expert\Documents\Programy\McAfee Security Scan Plus.lnk C:\Users\Expert\Documents\Programy\MPC Cleaner.lnk C:\Users\Expert\Documents\Programy\Note-Up.lnk C:\Users\Expert\Documents\Programy\SpaceSoundPro.lnk C:\Users\Default\Favorites\Booking.com.url C:\Users\Expert\Favorites\Booking.com.url C:\Windows\system32\Drivers\EsgScanner.sys Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Untersuchen (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występują tytułowe przekierowania.

Może te łaty rzeczywiście nie mają zastosowania, w rozumieniu że są w systemie jakieś inne łaty je zastępujące. Skoro najnowsza łata z listy zainstalowała się pomyślnie, to czy nastąpiły jakieś zmiany w zachowaniu Windows Update i jego wyszukiwaniu? Wyszukiwanie i tak będzie trwać dość długo i obciąży procesor. Zapuść wyszukiwanie, by się upewnić że nie pokazują się żadne nowe łaty do instalacji. I wątpię czy da się tu zrobić coś więcej.

Skoro nie ma, to sprawdź po kolei te których jeszcze nie próbowałeś, czy da się je zainstalować.

Zapomniałam dodać. W temacie który widziałeś użytkownik mówił o instalacji dwóch łat, ale na stronie do której kierował jest ich więcej, czy sprawdzałeś resztę? http://wu.krelay.de/en/ KB3185911 KB3168965 KB3145739 KB3078601 KB3164033 KB3109094 Kilku z nich nie było w momencie powstawania tamtego tematu.

Historia aktualizacji to nie jest dowód, historia może zawierać tylko część operacji, jeśli ją wcześniej czyszczono (np. narzędzia resetujące Windows Update ją usuwają). Sprawdzanie czy łata zainstalowana odbywa się w Panel sterowania > Programy > Programy i funkcje > Wyświetl zainstalowane aktualizacje. Druga sprawa, nie wiem czy od czasu tamtego tematu coś uległo zmianie. Mogły wystąpić kolejne niekorzystne zmiany w systemie aktualizacji Vista powodujące takie objawy, nierozwiązywalne metodą tam podawaną. I mnie interesuje, czy pozwoliłeś wyszukiwaniu Windows Update się w pełni ukończyć (to może długo trwać i procesor będzie obciążony wtedy) przed wyłączeniem wyszukiwania? Może w wyszukiwaniu pokażą się jakieś łaty istotne do zainstalowania.

A co ze skanem sfc /scannow? I tu jeszcze nie skończyliśmy. Będą do wykonania kroki końcowe.

Problemem niestety jest to skąd pobierasz... Ostrzegałam Cię w poprzednim temacie z infekcją yoursites. Wymieniane programy same w sobie niewinne, a AllPlayer ma w instalatorze mało inwazyjnego sponsora (ustawienie przekierowań na gazeta.pl). Ślady w logu sugerują, że załatwił Cię "Asystent pobierania" dobrychprogramów.pl, a możliwe że innego portalu też: KLIK. Conajmniej jeden plik "Asystenta" dobrychprogramów a nie zasadniczego instalatora na dysku: 2016-09-25 09:35 - 2016-09-25 09:36 - 01244848 _____ ( ) C:\Users\Agula\Downloads\ALLPlayer-13217-dp.exe Poza tym, FRST nie był pobierany tam skąd miał być pobierany, oto trzy pliki których w żadnym wypadku nie tworzy FRST samodzielnie: 2016-10-02 16:58 - 2016-10-02 16:58 - 00001398 _____ C:\Users\Agula\Desktop\Kontynuuj instalację Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0).lnk 2016-10-02 16:46 - 2016-10-02 16:46 - 01750528 _____ (Farbar) C:\Users\Agula\Downloads\Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0) [1].exe 2016-10-02 16:45 - 2016-10-02 16:45 - 01184736 _____ (Bogutebed ) C:\Users\Agula\Downloads\Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0).exe Pierwszy i trzeci to obiekty szkodliwego "downloadera" oferującego sponsorów, a środkowy to nie jest oryginalny plik FRST (FRST jest pobierany pod nazwami FRST.exe i FRST64.exe). Jedyne dozwolone linki tu: KLIK. W żadnym wypadku nie pobierać programu z innych linków niż podane w przyklejonym temacie. Zainstalowałeś lewe i szkodliwe skanery: Reimage, YAC(Yet Another Cleaner!) Działania do przeprowadzenia: 1. Deinstalacjer: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj szkodniki: Browser-Security, YAC(Yet Another Cleaner!). - Poza tym, wejdź do folderu C:\Program Files\Reimage i sprawdź czy jest jakiś plik deinstalacyjny, a jeśli tak to z prawokliku na plik "Uruchom jako administrator". Pliku może nie być, ale to adresuje już punkt 2. Po deinstalacjach zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7953776 2016-09-28] (Reimage®) S2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [419048 2016-09-20] () S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X] Task: {44213B98-72E1-4E4B-AE56-AA879B449A84} - System32\Tasks\{17211749-7146-4832-B0D0-936114110ADD} => pcalua.exe -a "F:\melog.com\Agencja3000 Light\Uninstall.exe" -d "F:\melog.com\Agencja3000 Light" Task: {734E81D4-C11C-4E89-8C41-E383CA330983} - System32\Tasks\WpsKtpcntrQingTask_Agula => C:\Program Files (x86)\Kingsoft\WPS Office\10.1.0.5657\office6\ktpcntr.exe Task: {9C36C0D1-3B51-417D-8299-4F0F0CE28758} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2016-09-29] (Reimage ltd.) Task: {AE9FE837-6CA7-4122-8BD4-20A9305A8E75} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2016-09-28] (Reimage®) HKU\S-1-5-21-1650190903-653209143-60761687-1001\...\Run: [safe_urls768] => C:\Users\Agula\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () HKU\S-1-5-21-1650190903-653209143-60761687-1001\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Agula\AppData\Local\Temp\ALLRemote.exe [2200144 2016-10-01] (ALLPlayer ) SearchScopes: HKU\S-1-5-21-1650190903-653209143-60761687-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1650190903-653209143-60761687-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\Program Files\Reimage C:\Program Files (x86)\Corner Sunshine C:\Program Files (x86)\WinSaber C:\ProgramData\corss C:\ProgramData\Reimage Protector C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\rei C:\Users\Agula\AppData\Roaming\Browser-Security C:\Users\Agula\AppData\Roaming\Corner Sunshine C:\Users\Agula\Desktop\Kontynuuj instalację Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0).lnk C:\Users\Agula\Desktop\zdjęcia firmowe\oferty_foto — skrót.lnk C:\Users\Agula\Downloads\*-dp*.exe C:\Users\Agula\Downloads\Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0) [1].exe C:\Users\Agula\Downloads\Farbar Recovery Scan Tool (FRST) 3.3.14.2 (18.9.2016.0).exe C:\Users\Public\Documents\temp.dat C:\WINDOWS\Reimage.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Które łaty próbowałeś instalować? Pokaż mi dokładne linki. I czy ich nie masz aby już zainstalowanych (do sprawdzenia w Panelu sterowania)?

Gdyby była infekcja w raportach lub jakaś poważna awaria wykluczająca dalsze działania, zostałbyś o tym poinformowany natychmiast. Główny problem nie jest pochodną tych zjawisk i nim się zajmij w pierwszej kolejności, tzn. instalacją łat. Gdy się z tym uporasz, można będzie przejść do korekty mniej istotnych fragmentów raportu. Czy Tobie przypadkiem nie chodzi o te znaczniki "UWAGA" w logu? R0 sptd; C:\Windows\System32\Drivers\sptd.sys [717296 2009-01-22] () [Brak podpisu cyfrowego] U3 a0jujgy2; C:\Windows\system32\Drivers\a0jujgy2.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder) Task: {C0BE6EB2-C4D1-4527-B8B5-6271BAFBDDD4} - System32\Tasks\Google Software Updater => C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2011-09-16] (Google) <==== UWAGA Task: C:\Windows\Tasks\Google Software Updater.job => C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe <==== UWAGA Pierwszy zestaw to para, sterownik od wirtualnych napędów DAEMON Tools Lite (program masz zainstalowany) i wszystko na ten temat jest w przyklejonym: KLIK. A oznaczenie tych starych wpisów aktualizatora Google (produkty Google zainstalowane) to fałszywy alarm. To wszystko można usunąć, ale nie ma to związku ze zgłaszanym problemem i nie pomoże go rozwiązać.

Temat nadal jest tam gdzie był: KLIK. Nic nie zostało usunięte. Wyszukiwarka forum w Mojej zawartości, by ograniczyć obciążenie serwera, jest zawężona do wyników z ostatniego roku. Temat bardzo stary sprzed ponad 3 lat. Skoro problem samoistnie się rozwiązał, temat zostanie zamknięty. Jeśli chodzi o problem z obciążeniem svchost.exe przez Windows Update, to do wglądu właśnie ten sam temat. Vista 32-bit = Vista x86. I nic więcej nie da się w tej kwestii zrobić. Vista będzie wspierana (w sposób częściowy) przez Microsoft do kwietnia 2017. Ale rzeczywiście jest coraz gorzej, są likwidowane przez Microsoft narzędzia naprawcze, a także producenci zewnętrzni usuwają kompatybilność programów z Vista. W roku 2017 Firefox też przestanie być kompatybilny z Vista: KLIK. Obecnie to jedyna główna przeglądarka pozwalająca na instalację na Vista. Chrome, Opera i IE już nie obsługują tego systemu - ostatnie wersje zdolne do instalacji na tym systemie są stare.

W Twoim innym temacie logi pokazują instalację Adobe Reader X (10.1.16). To ostatnia edycja którą oficjalnie można instalować na Vista, niemniej da się zainstalować ręcznie najnowszą wersję z linii Adobe Reader XI. Wszystko na ten temat w przyklejonym: KLIK. Czyli: deinstalujesz Adobe Reader X (10.1.16), następnie dla pewności uruchamiasz czyściciel firmowy, i po kolei instalujesz Adobe Reader XI 11.0.00 + zgodną z nim aktualizację.

Fix pomyślnie wykonany. Teraz wróćmy do sprawy nieszczęsnego gpedt.msc 1.0. Deinstalacja nie usunęła wszystkich śladów z dysku. W logu nadal widać np. folder C:\Windows\system32\GPBAK który powinien trzymać oryginalne wersje sprzed podmiany tym fałszywym gpedit. Jest prawdopodobne, że oryginalne pliki Windows nie zostały przywrócone do postaci pierwotnej. Proszę teraz zrób skanowanie sfc /scannow i dostarcz wynikowy log z tego skanu wg instrukcji: KLIK. Bez przesady! W linku w sekcji darmowych programów masz w wyraźny sposób wyróżnioną sekcję antywirusy... Cytuję ten fragment i podkreślam, byś nie szukał niczego innego spoza tej listy, bo nadziejesz się na stare wersje, słabe produkcje czy programy wątpliwej reputacji. Odradzam też chińskie softy. I antywirus to nie wszystko.... Dlatego polecam jednak przejrzeć listę nie skupiając się tylko na antywirusach. Poświęc proszę czas na przeczytanie, by uniknąć tego co tu się działo w temacie - instalacji lewych i przestarzałych programów, które pozorują zabezpieczenia.

Tylko się upewniałam czy to ponowne ustawienie przywracania sesji, tzn. czy poprzednie dane sesji przywracające wadliwe karty zostały już usunięte. Skoro to nowa sesja z innymi danymi, to nie widzę problemu. SFC widzi to zamieszanie, które zrobił gpedt.msc 1.0, tzn. detekcja "uszkodzonych" plików przystawki gpedit. Daj mi czas na analizę wyciągu i przygotowanie instrukcji, bo tu trzeba skorygować odczyt przywracając poprzednie poprawne wersje.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Nie próbuj pobierać tego programu z innych serwisów. Strona domowa programu to właśnie ta która się otwiera, fakt, jest mocno obsmarowana reklamami. Tak swoją drogą, to oni nawet przestrzegają przed pobieraniem z Instalki.pl: KLIK. Do wglądu też mój temat: KLIK. Na obrazku który pokazałeś, należy przeskrolować trochę niżej i kliknąć w duży przycisk Telecharger (to jest francuskie "Pobierz"). Alternatywnie wkleić w pasku adresów przeglądarki ten link inicjujący pobieranie: https://www.usb-antivirus.com/downloadings/ Ale pobieranie się blokuje na "została jedna sekunda". Za to stąd działa: https://www.sosvirus.net/telechargement-securise/ Podmienię w przyklejonym link.