picasso

Masz włączone przywracanie sesji i to wygląda na przyczynę dlaczego te karty się w kółko otwierają: OPR Session Restore: -> [funkcja włączona] Jest też inny problem z Operą będący konsekwencją pobytu adware. Otóż skróty Opery zostały zastąpione przez adware i kierują na już nieistniejący szkodliwy obiekt, a ten ostatni skrót wyglądający względnie dobrze też nie do końca poprawny (ma ukrytą Cyrylicę w nazwie, ostały się też argumenty skrótu adware): Shortcut: C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Users\Natalka\AppData\Roaming\HPReyos\ReyosStarter3.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk -> C:\Users\Natalka\AppData\Roaming\HPReyos\ReyosStarter3.exe (Brak pliku) Shortcut: C:\Users\Public\Desktop\Ореrа.lnk -> C:\Users\Natalka\AppData\Roaming\HPReyos\ReyosStarter3.exe (Brak pliku) ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа Intеrnеt Вrоwsеr.lnk -> C:\Program Files (x86)\Opera\40.0.2308.62\opera.exe (Opera Software) -> 4 2 Jeśli chodzi o komunikaty DNS, to nie wiadomo co było wcześniej w systemie, obecnie widzę tylko OpenDNS i adresy dostawcy Vectra. I kombinowałeś z niepożądanym crackiem KMSAuto Net. Moja opinia nie musi być wiążąca, ale zdecydowanie nie cofałabym się do Windows 7. Windows 7 to konstrukcja z roku 2009, czyli przestarzała i natywnie gorzej zabezpieczona niż najnowszy system (np. Windows Defender to nie to samo). Microsoft wspiera siódemkę w sposób już tylko podstawowy, żadnych wybitnych ulepszeń nie będzie, a aktualizacje ograniczone tylko do najważniejszych. Z Windows 7 też są obecnie problemy, np. potwornie długie wyszukiwanie aktualizacji i ogromne obciążenie systemu przez Windows Update, które rozwiązano dopiero po kilku miesiącach. Ponadto, nie ma gwarancji co będzie dalej. Wszystkie siły i bonusy są skoncentrowane na Windows 10. Problemy z systemami zawsze mogą wystąpić, niezależnie od edycji. Unikatowe konfiguracje sprzętowo-softwarowe, więc jest niemożliwym, by system był w pełni bezawaryjny. Nie dowiesz się jak się system zachowuje w Twoim środowisku, dopóki tego nie sprawdzisz na własnej skórze. Przykładowo już od dawna siedzę na Windows 10, wszystkie moje komputery w domu zostały zaktualizowane do tej wersji i na żadnym nie mam problemów. Do Windows 7 nie wrócę. Doczyszczanie systemu: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj HPReyos (adware), gpedt.msc 1.0 (wadliwa funkcjonalność) i Maxthon Cloud Browser. To sztuczne gpedit w ogóle nie działa poprawnie w edycjach Home, tworzy tylko pozory: KLIK. Natomiast Maxthon jest powiązany z "aferą szpiegowską": KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 KMDFVirtualKbd; \SystemRoot\System32\drivers\KMDFVirtualKbd.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\City Car Driving.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TomTom C:\Users\Natalka\AppData\Local\MSfree Inc C:\Users\Natalka\AppData\Roaming\HPReyos C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа Intеrnеt Вrоwsеr.lnk C:\Users\Natalka\Desktop\KMSAuto Net.exe C:\Users\Natalka\Desktop\x\Nowy folder\GTA 3.lnk C:\Users\Natalka\Desktop\x\Nowy folder\mc2 — skrót.lnk C:\Users\Natalka\Desktop\x\Nowy folder\Sleeping Dogs Definitive Edition.lnk C:\Users\Natalka\Desktop\x\Nowy folder\TestDriveUnlimited.lnk C:\Users\Natalka\Desktop\x\Nowy folder\Tropico 5.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CNext.lnk C:\Users\Public\Desktop\Ореrа.lnk CMD: ipconfig /flushdns CMD: type C:\WINDOWS\system32\Drivers\etc\hosts EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skróty Opery zostały usunięte, odtwórz sobie ręcznie w wybranych miejscach skróty do poprawnej ścieżki. W Operze zlikwiduj przywracanie poprzedniej sesji: Ustawienia > sekcja Przeglądarka > Po uruchomieniu przeglądarki > "Kontynuuj poprzednią sesję" przestaw na "Otwórz stronę startową". Przy okazji, skoro masz zainstalowany uBlock Origin, Adblock Plus jest zbędny. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Zoek wykonał zadanie i nie powinieneś już widzieć "Apple Software Update" na liście zainstalowanych. Na wszelki wypadek możesz zrobić log USBFix z opcji Listing przy podpiętym pendrive. Te które znalazłeś i jesteś pewien, że to szczątki możesz oczywiście usunąć. Mógłbyś też uruchomić wersję CCleaner Portable, zrobić skan na wyszukiwanie śmieci w rejestrze i dostarczyć log do oceny. Czyszczenie rejestru w rozumieniu automatycznego wyszukiwania wpisów odpadkowych jest ryzykowne. Automat nigdy nie uzyska percepcji żywego człowieka i mogą zostać usunięte wpisy które nie powinny być. Tu na forum były rozmaite przeboje, użytkownicy wyczyścili rejestr "za bardzo" i pojawiły się liczne problemy w systemie, które trzeba było odkręcać np. Przywracaniem systemu. Natomiast kompaktowanie rejestru za pomocą NTREGOPT, czy usuwanie plików tymczasowych w CCleaner pożądane.

Zadania wykonane zgodnie z planem. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Przesłałam na PW zedytowany plik Secure Preferences. Zamknij Google Chrome, skopiuj obecny plik Secure Preferences np. na Pulpit, następnie wstaw mój plik. Uruchom Chrome i podaj czy przeglądarka zaakceptowała zmiany i czy nadal AdwCleaner widzi ten wtręt.

Fix FRST uruchomiłeś aż 4 razy, to skrypt jednorazowego użytku i nie zrobi ponownie tej samej operacji, wszystko wykonuje się tylko w pierwszym podejściu (o ile nie ma błędu). Nie ma tu Fixlog z pierwszego podejścia, ale widzę po logach głównych, że wszystko zostało usunięte. Teraz już tylko poprawki. W międzyczasie doinstalowałeś kolejny lewy skaner, czyli Reimage. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [6489456 2016-09-28] (Reimage®) Task: {4ED21A64-B1C2-45BE-B2DD-4B8DFFEDE318} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2016-09-28] (Reimage®) Task: {F26BFC64-F480-426B-95D4-EC1E586E66C4} - System32\Tasks\{7C6C9317-B782-48C9-BDAD-2C8930909309} => RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KRECYCLE RemoveDirectory: C:\Program Files\Reimage RemoveDirectory: C:\Program Files\SUPERAntiSpyware RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\Kingsoft RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\vengador\AppData\Local\Kingsoft RemoveDirectory: C:\Users\vengador\AppData\Roaming\Kingsoft RemoveDirectory: C:\Users\vengador\AppData\Roaming\Solvusoft RemoveDirectory: C:\Users\vengador\AppData\Roaming\TomTom RemoveDirectory: C:\Windows\system32\log CMD: del /q C:\Windows\grep.exe CMD: del /q C:\Windows\MBR.exe CMD: del /q C:\Windows\NIRCMD.exe CMD: del /q C:\Windows\PEV.exe CMD: del /q C:\Windows\Reimage.ini CMD: del /q C:\Windows\sed.exe CMD: del /q C:\Windows\SWREG.exe CMD: del /q C:\Windows\SWSC.exe CMD: del /q C:\Windows\zip.exe CMD: del /q C:\Windows\system32\roboot.exe CMD: del /q C:\Windows\system32\Drivers\kisnetmxp.sys CMD: del /q C:\Windows\system32\Drivers\kisnetm.sys CMD: del /q C:\Windows\system32\Drivers\kisnetm64.sys CMD: del /q C:\Windows\system32\Drivers\ksapi64.sys Plik zapisz pod nazwą fixlist.txt w folderze FRST + GMER Na Pulpicie z którego uruchamiasz FRST. Tym razem plik nie musi być w UTF-8. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W folderze FRST + GMER powstanie nowy plik fixlog.txt. Dostarcz go tu jako załącznik posta. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\vengador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

Fragmenty wspominanych adware były także czyszczone w skrypcie FRST. Ich pochodna to m.in. "Asystent pobierania" dobrychprogramów: KLIK. 1. Uruchom AdwCleaner ponownie, wybierz opcje Skanuj + Oczyść. Gdy program ukończy robotę: 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, gmer oraz Nowy folder z FRST i jego logami. Następnie skorzystaj jeszcze z DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Internet Explorer 11 (pobieranie też pod w/w linkiem) i upewnij się, że wszystkie aktualizacje z Windows Update są zaaplikowane. To wszystko.

Przejścia do nowej linii mogą wyglądać inaczej w edytorze wizualnym forum, jeśli kopiowane z innych edytorów niż Notatnik oraz via przeglądarka Internet Explorer. Tzn. forum jest "skleja" do postaci para-jednoliniowej. Autokorekta przejść do nowej linii następuje po przełączeniu edytora w tryb BBCode i z powrotem. Doczyść te śmieci, które wspominałam: 1. Odinstaluj adware/PUP i starą wtyczkę Facebooka: AVG Web TuneUp, eBay Worldwide, Facebook Video Calling 3.1.0.521, Mobogenie, sweet-page uninstall, WindowsMangerProtect20.0.0.722. Przy okazji możesz rozważyć wyrzucenie pewnych firmowych integracji Acera, np. WildTangent Games. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj odpadek po McAfee Shared C Run-time for x64 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> mysearch.avg.com/?rvt=1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1663862098-2173623241-2597219904-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={A028208E-F993-4D01-8414-D9A0E23879F5}&mid=b3b2dcccc22d47cd9d69f1c0c267e3e5-778669c1c206f2d53cedf9ad41140cc89ab96d03&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415av&pr=fr&d=2015-05-06 16:32:44&v=4.3.1.831&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-1663862098-2173623241-2597219904-1004 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={A028208E-F993-4D01-8414-D9A0E23879F5}&mid=b3b2dcccc22d47cd9d69f1c0c267e3e5-778669c1c206f2d53cedf9ad41140cc89ab96d03&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0116tb&pr=fr&d=2015-05-06 16:32:44&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1663862098-2173623241-2597219904-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={A028208E-F993-4D01-8414-D9A0E23879F5}&mid=b3b2dcccc22d47cd9d69f1c0c267e3e5-778669c1c206f2d53cedf9ad41140cc89ab96d03&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0116tb&pr=fr&d=2015-05-06 16:32:44&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1663862098-2173623241-2597219904-1004 -> {E891FE45-33C8-4D81-A918-F81F03ED2214} URL = DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins HKLM\...\StartupApproved\Run32: => "mcui_exe" HKLM\...\StartupApproved\Run32: => "vProt" HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1663862098-2173623241-2597219904-1004\...\Policies\Explorer: [] Task: {1140A6A3-4755-48A6-B634-167D068006AF} - \Yahoo! Search -> Brak pliku Task: {51167CD2-B384-4135-B9EF-592CFF954879} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku Task: {77BAC94B-3472-4A2F-B868-2C17F5B8E4FE} - \Yahoo! Search Updater -> Brak pliku Task: {DD3D1D2C-9837-4807-82CC-0C2A65B26A03} - System32\Tasks\{29636F93-2C0E-46AC-8B3C-95E1DCCF116F} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.0.73.102.456/pl/abandoninstall?page=tsProgressBar C:\Program Files (x86)\GUT631F.tmp C:\Program Files (x86)\GUTFFCA.tmp C:\Users\iwona\AppData\Local\Google\Chrome\User Data\Guest Profile CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome odmontuj rozszerzenie AVG Secure Search, o ile nie zniknie po deinstalacji głównego paska AVG. Zaś AdBlocka (obecnie to kopia Adblock Plus i ma listę akceptowalnych reklam) proponuję wymienić uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. A te skróty to zakładam, że już samodzielnie usunąłeś.

Skrypt FRST pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz drugi FRST z Pulpitu. Wyczyść też foldery Przywracania systemu: KLIK. I czekam na logi z pozostałych systemów.

Czy na pewno po deinstalacjach antywirusów zresetowałeś system? W raportach wiele odpadkowych usług po tych instalacjach, a mimo iż wyszczerbione, są w stanie "Uruchomiono". Doczyszczanie: Zresetuj system, by zatrzymać aktywność martwych sterowników. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 QHActiveDefense; "C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X] R3 360AvFlt; C:\Windows\SysWOW64\DRIVERS\360AvFlt.sys [86248 2016-09-28] (360.cn) R3 360Box64; system32\DRIVERS\360Box64.sys [X] R4 cm_km; system32\DRIVERS\cm_km.sys [X] R4 kl1; system32\DRIVERS\kl1.sys [X] R4 kldisk; \SystemRoot\system32\DRIVERS\kldisk.sys [X] R4 klflt; \SystemRoot\system32\DRIVERS\klflt.sys [X] R4 klhk; \SystemRoot\System32\drivers\klhk.sys [X] R4 KLIF; system32\DRIVERS\klif.sys [X] R4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X] R4 klpd; system32\DRIVERS\klpd.sys [X] R4 klwfp; \SystemRoot\system32\DRIVERS\klwfp.sys [X] R4 kneps; \SystemRoot\system32\DRIVERS\kneps.sys [X] S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] U0 msahci; system32\drivers\msahci.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" FirewallRules: [{38D7CE7D-8532-4AA3-A332-0267DA3C6EC3}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe FirewallRules: [{03F392E9-7415-4DB2-A2A3-305A0729454E}] => (Allow) C:\Program Files (x86)\GlassWire\GWCtlSrv.exe SearchScopes: HKU\S-1-5-21-2266852984-1462261950-973197745-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\$360Section RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\GlassWire RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\paulinkaa\AppData\Local\GlassWire RemoveDirectory: C:\WINDOWS\Tasks\360Disabled CMD: del /q C:\AVScanner.ini CMD: del /q C:\WINDOWS\SysWOW64\Drivers\360AvFlt.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Wszystko zostało wykonane zgodnie z planem. Teraz uruchom AdwCleaner, wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W opisie obsługi AdwCleaner jest podane, że log z czyszczenia ma oznaczenie C w nazwie. Zostawiam tylko ten log, duplikat z poprzedniego usuwam. AdwCleaner wykonał robotę. 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST i GMER z narzędziami logami. Następnie zastosuj jeszcze DelFix. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log.

Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz pobrane skanery i ich logi. Nie wiem jaka jest przyczyna tego błędu, ale raczej wątpię w mnogość profilów jako istotę usterki. Ten błąd głównie jest kojarzony z antywirusami i malware. Tu malware nie zostało wykryte, a błąd występuje na dwóch komputerach. Czy na obu jest zainstalowany Avast?

System pomyślnie oczyszczony, infekcja nie jest już aktywna. Został pendrive: Oczywiście. Tu była usuwana tylko infekcja z systemu i kopia tego pliku stworzona przez Ciebie ręcznie. FRST nie skanuje dysków zewnętrznych. Stąd prosiłam o log z USBFix... Jak to? Nie widzisz opcji które są w opisie? Pokaż mi zrzut ekranu co uruchamiasz i co się pokazuje w IE. Skrypt jest jednorazowego użytku i nie powtórzy tych samych operacji. W drugim podejściu masz od góry do dołu "nie znaleziono". Fałszywy alarm. Należy wyłączyć antywirusa na czas pobierania i pracy z programem. W XP nie ma czynnych oznak tej infekcji. Do zrobienia byłyby drobne poboczne sprawy (jakieś odpadkowe wpisy), ale tym zajmę się potem.

Są tu liczne problemy. W systemie jest infekcja osadzona we WMI, zaszyty tam skrypt reinfekuje skróty przeglądarek w bliskich odstępach czasowych. Czyszczenie samych parametrów skrótów nic nie da, dopóki nie zostanie usunięty skrypt WMI. Ale to nie jest jedyna szkodliwa modyfikacja w systemie, jest tu też infekcja DNS, polityki Windows Defender i inne szkodniki. Operacje do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędne programy: Adobe AIR, Bing Bar, HP Customer Participation Program 14.0, Java 8 Update 40, Spybot - Search & Destroy. Ten Spybot to skaner który raczej nie wykrywa niż wykrywa bieżące zagrożenia... 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WindowsDefender; C:\Windows\winrshost.exe [177152 2016-03-21] () [File not signed] HKLM\...\Providers\1nfd18e5: C:\ProgramData\FastPrinter\local64spl.dll [141824 2016-08-22] () HKLM\...\Providers\omvik5rc: C:\Program Files (x86)\\local64spl.dll [141824 2016-08-22] () HKLM\...\Winlogon: [userinit] wscript C:\Windows\run.vbs, HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\Run: [Ovics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pati\AppData\Local\IRsoft\sqnxogrw.dll HKU\S-1-5-21-1057106586-2403482295-1909535323-1001\...\StartupApproved\Run: => "IRsoft" Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe Task: {0D763D79-3CDE-41A2-993D-7CBA748B3ED2} - System32\Tasks\{C05415B8-B11A-485B-9375-CEDF83AF929D} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Zathdom\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Zathdom\uninstall.dat" -a uninstallme ED2D987A-9283-494C-ACD9-03C7A093A4CC DeviceId=f970916d-284d-235d-1251-46cc4fa05103 BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn Task: {B87454B3-B62A-46D7-8464-3BA681215950} - System32\Tasks\Coerwcult Center => C:\Program Files (x86)\Crecult\Coerwcultcntdnk.exe Tcpip\..\Interfaces\{3CEC4DD1-E22F-4E53-834D-D81B87C9D26E}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{EA4E11C0-8779-4BB5-92BE-763E2D2A5C51}: [NameServer] 188.120.239.115,8.8.8.8 GroupPolicy: Restriction - Windows Degender WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc SearchScopes: HKLM -> IELNKSRCH URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmorjNXrcNqlRkJQAPAeRWWrGrvcIGgASlAvdju6NGxd46zYN8hurJAu-o32-9yJpoOsFUmFTl9FOk4hcVsOXKuA-zceluDURbgHBaMXAs4IiDWVyiRvwVBZuasOTl1fgxk7AT_SLmmIEjRLjN-OIbIw_vD-5W&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Users\Pati\Cookies:eLzXAceo1JHpJ06dclVDZj7KM [2324] C:\Program Files (x86)\local64spl.dll C:\Program Files (x86)\local64spl.dll.ini C:\ProgramData\FastPrinter C:\Users\Pati\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Pati\AppData\Local\zaupT9tpAAXks C:\Users\Pati\AppData\Roaming\agent.dat C:\Users\Pati\AppData\Roaming\Installer.dat C:\Users\Pati\AppData\Roaming\Main.dat C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ｇooｇle Ｃhroｍe.lnk C:\Users\Pati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ｇooｇle Ｃhroｍe.lnk C:\Windows\winrshost.exe CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Pati\AppData\Local CMD: dir /a C:\Users\Pati\AppData\LocalLow CMD: dir /a C:\Users\Pati\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome sfabrykowany profil. Należy usunąć cały profil. W Ustawienia > karta Ustawienia > Osoby sprawdź ile profilów widać. Jeśli tylko jeden, to opcją Dodaj osobę stwórz nowy, a bieżący skasuj. Jeśli jednak widać dwa profile, to skasuj bieżący, a na ten drugi zaloguj się. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Hmm, na Pulpicie? W Shortcut nie było takich skrótów, ale przypięte na Pasku i w Menu Start owszem. I przyjrzałam się jeszcze raz. Przez nieuwagę (śpieszyłam się przed opuszczeniem forum) nie dołączyłam w poprzednim skrypcie tego do usunięcia, więc dokasuj ten plik ręcznie: C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk AdwCleaner miałam zadać, ale dopiero po przetworzeniu zadań podanych powyżej. Widać w logu pewne obiekty których być nie powinno po uprzednim czyszczeniu. Nie, to nie są fałszywe alarmy. Chyba zmierzasz do tego, że AdwCleaner wykrył folder w profilach Firefox. Ja o tym mówiłam - adware sfabrykowało profile Firefox. Ten który był na samym początku widoczny w FRST (41A66E7E5EE1) właśnie skosiłam skryptem FRST, ale wg raportu AdwCleaner jest jeszcze jeden sfałszowany profil (CCACCBF1-7AB4-4CF5-B32D-668C686A539F). O ile tego nie zrobiłeś już, uruchom czyszczenie tego śmietnika w AdwCleaner i przedstaw log z usuwania. Dodatkowo, przez SHIFT+DEL (omija Kosz) dokasuj z dysku folder C:\WINDOWS\system32\log (to katalog raportów tego YAC). Tak. Operacja do przeprowadzenia przy udziale narzędzia Oczyszczania dysku: klik w ikonkę wyszukiwania na pasku zadań > wklep Oczyszczanie dysku > klik w Oczyść pliki systemowe > zaznacz Poprzednie instalacje systemu Windows (przy okazji sprawdź czy jest więcej do usuwania) > OK. To powinno uwolnić trochę miejsca. Pliki eula.10**.txt spokojnie na ubój. A te alfanumeryczne foldery to tymczasowe miejsce dla instalowanych łatek Windows Update. Po ukończeniu aktualizacji można je usunąć. Foldery zwykle są zablokowane przez uprawnienia i próba standardowego usunięcia zwraca "Odmowę dostępu". By je usunąć, możesz skonstruować skrypt do FRST zawierający polecenie: RemoveDirectory: ścieżka dostępu do folderu Dodatkowo, w logu było widać duży plik RAR liczący sobie ponad 700MB: 2013-06-20 19:59 - 2013-06-12 18:06 - 799825890 _____ () C:\Program Files\GTA San Andrea1s.rar Dalsza diagnostyka przy udziale SpaceSniffer (należy go uruchomić przez prawoklik i Uruchom jako administrator). Choć Windows 10 jest moim bieżącym systemem, nie koncentrowałam jakoś szczególnie swojej uwagi na telemetrii, posuwając się tylko do prostych konfiguracji podczas instalacji systemu (odznaczenie tego co się dało). Nie sprawdzałam żadnego z wyliczanych programów, czy jest to skuteczne a nie jakiś pic. Niektóre z trików mających rzekomo blokować śledzenie i tak nie działają, ale ja nie wiem co jest w wymienionych programach i nie potrafię udzielić rzetelnej odpowiedzi. Tak swoją drogą to telemetria lub podobny mechanizm jest w masie programów, w preinstalowanych softach OEM/laptopów (np. pod kryptonimem "poprawa jakości obsługi")... Problemem niestety jest, że ten rodzaj instalacji inicjuje ręcznie użytkownik... Pomocą tu może służyć program Unchecky automatycznie odznaczający pola sponsorów i inne miny w downloaderach. W przeglądarkach można dołożyć też np. uBlock Origin, który ma szerszą konfigurację niż standardowy "adblock". Popatrz na listę softu: KLIK.

Nie wiem dlaczego nie widziałeś komunikatu o translatorze, ale pierwszy Fixlog definitywnie pochodził z translatora - charakterystyczne spacje w ścieżkach i niektóre słowa zmienione z angielskich na polskie. Trzeci właśnie dostarczony Fixlog jest za to prawidłowy i wszystko zostało wykonane. Małe poprawki: 1. Otwórz Notatnik i wklej w nim: S4 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Brak zmian w logu. Proszę otwórz Fixlog.txt i popatrz co zmajstrowałeś... Całkowicie zdewastowany skrypt do FRST. On wskazuje, że na stronie forum uruchomił Ci się translator Google i zaproponował "tłumaczenie strony" (ze względu na anglojęzyczne frazy w skrypcie). Niestety powierdziłeś i cały skrypt został zrujnowany translatorem. FRST nie przetworzy sztucznych ścieżek z dodanymi spacjami i innych artefaktów z translatora. Proszę powtórz wszystko od początku.

Czy poprawiła się wydajność systemu? Wszystko wygląda o wiele lepiej. Teraz już tylko doczyszczanie szczątków adware. Kolejna porcja: 1. W Google Chrome nadal widzę przekierowania nicesearches.com oraz rozszerzenie Avast Safe Price... Czy na pewno zresetowałeś ustawienia przeglądarki jak podałam? 2. Otwórz Notatnik i wklej w nim: BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Users\cech1\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll [2009-12-21] (GG Network S.A.) DeleteKey: HKLM\SOFTWARE\Wow6432Node\Seteat DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\irc DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\mailto DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\mms DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\news DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\nntp DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\sms DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\smsto DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\urn DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Classes\webcal DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Clients\StartMenuInternet\ChromeHTML DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\34991c9d_0 DeleteKey: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Seteat Reg: reg delete "HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Seteat\Application\chrome.exe" /f CMD: del /q "C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Battlelog Web Plugins RemoveDirectory: C:\Program Files (x86)\bla RemoveDirectory: C:\Program Files (x86)\BonanzaDeals RemoveDirectory: C:\Program Files (x86)\BonanzaDealsLive RemoveDirectory: C:\Program Files (x86)\Browser Tab Search by Ask RemoveDirectory: C:\Program Files (x86)\predm RemoveDirectory: C:\Program Files (x86)\Seteat RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\trolatunt RemoveDirectory: C:\Program Files (x86)\Common Files\YDP RemoveDirectory: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} RemoveDirectory: C:\ProgramData\4winp4 RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\BonanzaDealsLive RemoveDirectory: C:\ProgramData\DAEMON Tools Lite RemoveDirectory: C:\ProgramData\DAEMON Tools Pro RemoveDirectory: C:\ProgramData\GG RemoveDirectory: C:\ProgramData\log RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Orbit RemoveDirectory: C:\ProgramData\PLAY ONLINE RemoveDirectory: C:\ProgramData\QwinpQ RemoveDirectory: C:\ProgramData\SafetyNut RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\ProgramData\TuneUp Software RemoveDirectory: C:\ProgramData\TwinpT RemoveDirectory: C:\ProgramData\ucktC RemoveDirectory: C:\Users\cech1\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\cech1\AppData\Local\AION RemoveDirectory: C:\Users\cech1\AppData\Local\BonanzaDealsLive RemoveDirectory: C:\Users\cech1\AppData\Local\cache RemoveDirectory: C:\Users\cech1\AppData\Local\CEF RemoveDirectory: C:\Users\cech1\AppData\Local\Chromium RemoveDirectory: C:\Users\cech1\AppData\Local\Gameo RemoveDirectory: C:\Users\cech1\AppData\Local\genienext RemoveDirectory: C:\Users\cech1\AppData\Local\Lenovo RemoveDirectory: C:\Users\cech1\AppData\Local\Opera Software RemoveDirectory: C:\Users\cech1\AppData\Local\Seteat RemoveDirectory: C:\Users\cech1\AppData\Local\Skype RemoveDirectory: C:\Users\cech1\AppData\Local\WMTools Downloaded Files RemoveDirectory: C:\Users\cech1\AppData\LocalLow\Hyper Hippo Productions Ltd_ RemoveDirectory: C:\Users\cech1\AppData\LocalLow\Sun RemoveDirectory: C:\Users\cech1\AppData\LocalLow\Unity RemoveDirectory: C:\Users\cech1\AppData\Roaming\.minecraft RemoveDirectory: C:\Users\cech1\AppData\Roaming\C__Users_cech1_Downloads_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Crack_HideIPEasy.exe RemoveDirectory: C:\Users\cech1\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I RemoveDirectory: C:\Users\cech1\AppData\Roaming\AION RemoveDirectory: C:\Users\cech1\AppData\Roaming\AVG RemoveDirectory: C:\Users\cech1\AppData\Roaming\DAEMON Tools Lite RemoveDirectory: C:\Users\cech1\AppData\Roaming\DAEMON Tools Pro RemoveDirectory: C:\Users\cech1\AppData\Roaming\DiskDefrag RemoveDirectory: C:\Users\cech1\AppData\Roaming\Gadu-Gadu 10 RemoveDirectory: C:\Users\cech1\AppData\Roaming\GG RemoveDirectory: C:\Users\cech1\AppData\Roaming\GlarySoft RemoveDirectory: C:\Users\cech1\AppData\Roaming\newnext.me RemoveDirectory: C:\Users\cech1\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1 RemoveDirectory: C:\Users\cech1\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\cech1\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\cech1\AppData\Roaming\Origin RemoveDirectory: C:\Users\cech1\AppData\Roaming\qksee RemoveDirectory: C:\Users\cech1\AppData\Roaming\sMedio RemoveDirectory: C:\Users\cech1\AppData\Roaming\TSv RemoveDirectory: C:\Users\cech1\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\cech1\AppData\Roaming\Uncheckit RemoveDirectory: C:\Users\cech1\AppData\Roaming\Unkn0wns Texture Installation Tool RemoveDirectory: C:\Users\cech1\AppData\Roaming\WinRAR RemoveDirectory: C:\Users\cech1\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\cech1\AppData\Roaming\WinZiper Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Adware wdarło się z "Asystenta pobierania" dobrychprogramów: KLIK. Świadczy o tym ten plik w Temp: C:\Users\natal\AppData\Local\Temp\ICReinstall_Free-Screen-Video-Recorder-33557-dp.exe W której przeglądarce jest zablokowana wyszukiwarka "mylucky" - Edge czy Google Chrome? Ja nie widzę standardowych polityk Chrome mogących to generować. A reset ustawień Edge dodam na wszelki wypadek. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [437248 2016-09-29] () [brak podpisu cyfrowego] SS4 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [X] CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z" Edge HomeButtonPage: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} HKU\S-1-5-21-994918294-1171295045-2541185440-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z HKU\S-1-5-21-994918294-1171295045-2541185440-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475213052&z=e20885c8860f656d0e8d18dg5zfmdwco8gccbecw5g&from=uvc0929&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF865034Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-994918294-1171295045-2541185440-1001 -> {5586413B-D1E6-4D81-85FC-A32CE0B6D275} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f HKU\S-1-5-21-994918294-1171295045-2541185440-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\natal\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-994918294-1171295045-2541185440-1001\...\Policies\Explorer: [] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\13027460.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\13027460.sys => ""="Driver" DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\uvconvrx_00000000 C:\ProgramData\corss C:\ProgramData\cosun C:\ProgramData\McAfee C:\ProgramData\UvConverter C:\ProgramData\Tencent C:\Users\natal\AppData\Local\Legness C:\Users\natal\AppData\Roaming\version2.xml C:\Users\natal\AppData\Roaming\Corner Sunshine C:\Users\Public\Documents\temp.dat C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\data.bin CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Block site marki wips.com, to w istocie spyware: KLIK. Dodatkowo też sponsoringowe rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy we wszystkich przeglądarkach ustąpił problem z "mylucky".

Fix FRST wykonany. AdwCleaner wykrył drobne odpadki adware. Uruchom go ponownie, zastosuj po kolei opcje Skanuj + Oczyść i dostarcz log wynikowy.

1. Myślałam, że przez USBFix. Wyglądają w logu USBFix w taki sam sposób, nie da się ich odróżnić, choć różnica jest zasadnicza (inna metoda blokowania). Usuwanie ich celowe i nadal aktualne. Te foldery powodują skutki uboczne na dyskach twardych (utrata etykiet). Poza tym, obecnie to przestarzałe i liche zabezpieczenie. Infekcje autorun.inf to przeszłość, gdyż łaty systemowe odcięły tę drogę. Bieżące infekcje stosują inne triki uruchomienione, np. sztuczki socjotechniczne: KLIK. 2. Hitman wykrył tylko drobne ciastka w Firefox oraz kopie FRST. Kopie FRST i tak są do usunięcia. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

Problemem jest szkodliwy, ale już martwy skrót w starcie próbujący uruchamiać jakiś plik BAT: Startup: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d1b95.lnk [2016-09-19] Shortcut: C:\Users\EWA\AppData\Local\1c468\fd575.lnk -> C:\Users\EWA\AppData\Local\1c468\3f6b1.bat (Brak pliku) Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj starą niebezpieczną wersję Java™ 6 Update 14. Następnie uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis po niechcianej instalacji Lenovo Metric Collection SDK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d1b95.lnk [2016-09-19] HKLM\...\Run: [] => [X] HKU\S-1-5-21-2592791242-802997460-2401244277-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku Task: {0E2C5447-7862-4283-AAB7-0D90D8B860BD} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.8.23\SymErr.exe Task: {13B87513-9C0C-4EB5-BED3-F9B505FD1DBE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {23E5E7E0-E789-4428-A524-3CB215FC9F10} - System32\Tasks\Driver Booster SkipUAC (EWA) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {2E52D03D-27A9-42BE-B8D8-BDB78D51CDF0} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.8.23\SymErr.exe Task: {372646E3-0835-479C-AD54-ED60558A795A} - System32\Tasks\{02270F72-E05B-421A-9850-25291D480653} => pcalua.exe -a C:\Games\ATC4\Uninstall_ATC4_RJTT.exe Task: {6F89BF9C-BAF2-45D2-9B50-E3C202FFC8B6} - System32\Tasks\Auslogics\Driver Updater\Start Driver Updater оn logon => C:\Program Files (x86)\Auslogics\Driver Updater\DriverUpdater.exe Task: {EA3B1581-2F63-43BC-A622-A5240B333042} - System32\Tasks\{A36A99E1-F151-48A4-ACE7-DA98E95DFD9B} => pcalua.exe -a C:\Users\EWA\Downloads\openvpn-2.1_rc15-install.exe -d C:\Users\EWA\Downloads DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Auslogics DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo S2 TeamViewer; "C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe" [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.1.0.9\Definitions\SDSDefs\20160615.023\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.1.0.9\Definitions\SDSDefs\20160615.023\EX64.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2592791242-802997460-2401244277-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2592791242-802997460-2401244277-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - => nie znaleziono C:\cookies.sqlite C:\Program Files (x86)\Lenovo C:\ProgramData\Lenovo C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ATC4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Toshiba\Rejestracja gwarancji firmy Toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\Users\EWA\AppData\Local\1c468 C:\Users\EWA\AppData\Local\Lenovo C:\Users\EWA\AppData\Roaming\0dad7 C:\Users\EWA\AppData\Roaming\Microsoft\Excel\dicota%2003305225561915752396\dicota%2003.xls.lnk C:\Users\EWA\AppData\Roaming\Microsoft\Excel\Kopia%20euro%202016%2002%2001304980271548788618\Kopia%20euro%202016%2002%2001.xls.lnk C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenVPN C:\Windows\System32\Tasks\Auslogics C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Z GMER nie ma problemu i go usuwam. To wszystkie logi FRST są uszkodzone. Mówisz o Wordpad, proszę otwórz oryginalne pliki FRST utworzone na dysku w Notatniku (Otwórz za pomocą > Notatnik) i powiedz mi czy widzisz uszkodzenia czcionek.

Usuwam zawartość pliku DOC, to malware i Windows Defender natychmiast mi blokuje pobranie pliku. Logi z przestarzałego OTL nie są tu już w ogóle brane pod uwagę i też je usuwam. Obecnie nowoczesny skaner zastępujący w pełni OTL to FRST, posiada znacznie więcej możliwości niż OTL. Zabrakło za to trzeciego obowiązkowego raportu FRST Shortcut oraz GMER. Owszem, tu jest problem, ale nie chodzi o sam wscript.exe - to jest poprawny systemowy silnik uruchamiania skryptów VBS. Problemem jest uruchamiany przez ten silnik docelowy szkodliwy skrypt VBS zlokalizowany w folderze temp użytkownika: HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [sysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db To infekcja WORM_FORBIX.A. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 20 ActiveX, Java SE Development Kit 8 Update 25 (zagrożenie infekcjami szyfrującymi dane) oraz lewy skaner-naciągacz SpyHunter 4. Następnie, niezależnie od tego czy deinstalacja SpyHunter się powiedzie zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Policies\Explorer: [] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Task: {25BBDA8D-C74D-486C-95B0-BDDE285CB0AA} - System32\Tasks\{E7EFB6B2-B613-4374-91A5-AE0F8DE7F5B0} => pcalua.exe -a "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k\gothic1_playerkit-1.08k.exe" -d "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k" Task: {5632745C-3716-4DBB-906B-EBBD1E1273D0} - System32\Tasks\{BF03AFC3-95E7-4133-87D0-7EEFF4C6A1D3} => pcalua.exe -a "F:\Instalki do gier\Mount&amp;Blade Fire and Sword +MULTIPLAYER by iMortaluz\DirectX - install if the game doesn't work.exe" -d "F:\Instalki do gier\Mount&amp;Blade Fire and Sword +MULTIPLAYER by iMortaluz" Task: {5F1D028C-2B6A-4656-B777-5B78939C1108} - System32\Tasks\{A1BB2123-6A4F-488E-9384-ABD5C6C0739B} => pcalua.exe -a "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718\DriverSetup.exe" -d "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718" Task: {9C164DEE-2A4B-42CC-B60D-D7139F347519} - System32\Tasks\{56F32D16-EAA8-4BFA-9EA2-0766728E5FDD} => pcalua.exe -a "F:\Wonder pliki\Setup.exe" -d "F:\Wonder pliki" Task: {B1334EE1-7936-495D-84E5-E9FA60826902} - System32\Tasks\{23003EB3-106F-4E9C-8DB4-40B56E653C87} => pcalua.exe -a "F:\Programy instalacyjne\Sterowniki\sp65178 Sterownik oprogramowania Ralink Bluetooth.exe" -d "F:\Programy instalacyjne\Sterowniki" Task: {F1F19554-0B64-4214-8C62-0A0882539896} - System32\Tasks\{30B5BC00-99C7-4790-ABF2-61515936C33A} => pcalua.exe -a "F:\Programy instalacyjne\wmp11-windowsxp-x86-PL-PL.exe" -d "F:\Programy instalacyjne" Task: {F66A11B6-628D-4A73-994E-A086E39F802F} - System32\Tasks\{2D6DDA36-CDCC-4EDF-8099-0A75282CC5A3} => pcalua.exe -a C:\Users\Karol\Desktop\wmp11-windowsxp-x86-PL-PL.exe -d C:\Users\Karol\Desktop MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Karol\AppData\Local\Akamai\netsession_win.exe" S3 BtAudioBusSrv; System32\Drivers\BtAudioBus.sys [X] S3 BthL2caScoIfSrv; System32\Drivers\BtL2caScoIf.sys [X] S3 btUrbFilterDrv; System32\Drivers\IvtUrbBtFlt.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" DisableService: PLAY ONLINE. RunOuc CMD: del /q "C:\Users\Karol\Desktop\Manuel z pendrive.txt" Reg: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x1 /f Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) z zaznaczonym polem Shortcut oraz USBFix z opcji Listing przy podpiętym pendrive (o ile nie zostanie sformatowany ponownie). Dołącz też plik fixlog.txt.

Na początek proszę odpowiedz mi czy zawartość logów FRST przeklejona na wklej.org to taka która była oryginalnie w plikach na dysku? Wszystkie logi FRST mają skopane formatowanie (wygląda na ANSI zamiast UTF-8) oraz zepsute polskie czcionki. Jeśli masz oryginalne pliki, proszę otwórz je i potwierdź mi co widzisz. Jeśli oryginalne logi jednak wyglądają poprawnie, dostarcz je ponownie. Do wyczyszczenia będą odpadki po instalacjach adware/PUP, ale na razie proszę ustalmy co tu się dzieje z kodowaniem logów. Te skróty są puste i kierują na jakiś plik MP3 na dysku D: Shortcut: C:\Users\iwona\Desktop\Nowy folder\020z1b — skrĂłt.lnk -> D:\020z1b.mp3 (Brak pliku) Czy był podpinany taki dysk? Obecnie w logu nie widać takiego dysku, a wszystkie te skróty można skasować.