picasso

Zapewne chodzi o usługi CDPUserSvc_Losowy ciąg i/lub XBoxNetApi. W tym przypadku to normalne, to wada Windows 10 Wersja 1607. Przy tych usługach ja także mam ten komunikat, Microsoft po prostu nie wyasygnował opisu dla nich. Które konkretnie usługi, poza Buforem wydruku, mają ten defekt? Wszystkie jak leci? I jakie błędy zwracają kalendarz oraz kalkulator? Nazwy usług są skonfigurowane w rejestrze, by pobierać nazwy z plików. Skoro nadal coś jest nie tak z poborem nazw, to być może jest to jednak problem z dodatkowym naruszeniem plików. Ponadto, nadal w logu Addition widać odczyt na temat dysfunkcji Winmgmt (w konsekwencji podległa usługa Zapory też nie jest uruchomiona) oraz błędy Odmowa dostępu usług FDResPub i HomeGroupProvider. Na razie poproszę o: 1. Uruchomienie sprawdzania sfc /scannow i dostarczenie wynikowego przefiltrowanego raportu: KLIK. 2. Dostarczenie kopii rejestru SYSTEM. Zrzuć kopię rejestru programem RegBak i z kopii zapasowej wyłuskaj plik SYSTEM, spakuj do ZIP, shostuj gdzieś i na PW prześlij link. Analiza może potrwać i nie obiecuję szybkiego przeglądu.

Brakuje tu opisu konstrukcji pewnych funkcji, np. Ulubionych. Gdyby ktoś był zainteresowany, darmowe aplikacje wspomagające: - EdgeManage - Zewnętrzny menedżer Ulubionych. Obsługuje Edge w Wersji 1511 i wyżej, nie obsługuje Edge w RTM ("nie-bazodanowa" budowa). - EdgeSync - Alternatywny synchronizer Ulubionych między komputerami, który nie wymaga konta Microsoftu, ale nie działa automatycznie (wymagane okresowe ręczne uruchomienie procesu synchronizacji). - ViewESE - Narzędzie otwierające bazy danych w formacie ESE (czyli m.in. Ulubione w Edge w Wersji 1511 i wyżej) w trybie "tylko do odczytu".

Klucz MUI jest naruszony, całkowity brak klucza StringCacheSettings. Próba reperacji: 1. Otwórz Notatnik i wklej w nim: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MUI\StringCacheSettings] "StringCacheGeneration"=dword:0000001f EndRegedit: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Wyczyść Dzienniki zdarzeń: prawy klik na przycisk Start > Podgląd zdarzeń. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 3. Zresetuj system, by zmiany rejestru z punktu 1 zostały wdrożone w pełni, oraz by nagrały się nowe ewentualne błędy w Dzienniku. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany oraz czy coś jest jeszcze uszkodzone.

Temat zostanie przeniesiony do bardziej pasującego działu, tzn. Windows, problem nie wynika z infekcji. Ponadto, wątek został skupiony na usłudze Winmgmt, podczas gdy wszystkie usługi są zdefektowane, a nie tylko Winmgmt. A klucz Winmgmt jest identyczny w systemach Vista do Windows 10. Te objawy mogą produkować następujące defekty: naruszenia w kluczu HKLM\SYSTEM\CurrentControlSet\Control\MUI (StringCacheSettings) lub uszkodzone pliki systemowe z których jest pobierany opis. Drugi wariant wydaje się mniej prawdopodobny, skoro wszystkie usługi są w takim stanie. Dodatkowo, nie jest wykluczone złożenie przyczyn, bo w Dzienniku zdarzeń są błędy usług zwracające "Odmowę dostępu", co z kolei może być efektem uszkodzeń uprawnień w gałęzi SYSTEM. To wszystko może być nierozwiązywalne bez przywrócenia systemu do stanu firmowego (Reset PC). Wstępnie poproszę o więcej danych, by zweryfikować wariant numer 1. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\MUI /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Raporty z FRST zostały wykonane na złych ustawieniach, niezgodnie z opisem. Sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [192216 2016-08-09] (Malwarebytes) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-21] (Huorong Borui (Beijing) Technology Co., Ltd.) Task: {5E5C1B2B-7BDA-4716-BBD3-FC620F4951DB} - System32\Tasks\{CFF5B5C9-5465-4D05-8F1A-EC22F8CD8C98} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.15.0.102&LastError=404 Task: {9E9E5257-C292-4D1F-8892-CD112DA36514} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS Cleanup" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS EPM tray" /f C:\Program Files (x86)\Ploqdomzok C:\Program Files (x86)\s1d8202 C:\Program Files (x86)\sbqh C:\ProgramData\Malwarebytes C:\Users\Kamil\IP_Log_Data.js C:\Users\Kamil\AppData\Local\Driver_LOM_8161Present.flag C:\Users\Kamil\AppData\Roaming\EeIQKCHSHPgVUTdGdPR C:\Users\Kamil\AppData\Roaming\EeIQKCHSHPgVUTdGdPRYN.cmd C:\Users\Kamil\AppData\Roaming\KSAaDJSIHghQ C:\Users\Kamil\AppData\Roaming\ClassicShell C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Serious Sam HD - The Second Encounter C:\Users\Kamil\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\kz.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wg wytycznych tu z forum, ale bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Opis wskazuje, że w systemie pojawiła się infekcja szyfrująca dane Microsoft Decryptor (nowa wersja CryptXXX): KLIK, KLIK. W raportach FRST brak oznak aktywnej infekcji (pewnie się już automatycznie usunęła), widać tylko notatki ransom dodane przez infekcję szyfrującą dane (ich widoczność oznacza, że jest "po ptakach", procesy szyfrujące się ukończyły): 2016-07-27 23:07 - 2016-07-27 23:07 - 03276854 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.bmp 2016-07-27 23:07 - 2016-07-27 23:07 - 00238187 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.html 2016-07-27 23:07 - 2016-07-27 23:07 - 00001659 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.txt 2016-07-27 22:59 - 2016-07-27 22:59 - 03276854 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.bmp 2016-07-27 22:59 - 2016-07-27 22:59 - 00238187 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.html 2016-07-27 22:59 - 2016-07-27 22:59 - 00001659 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.txt 2016-07-27 22:45 - 2016-07-27 22:45 - 03276854 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.bmp 2016-07-27 22:45 - 2016-07-27 22:45 - 00238187 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.html 2016-07-27 22:45 - 2016-07-27 22:45 - 00001659 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.txt 2016-07-27 21:42 - 2016-07-27 21:42 - 03276854 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.bmp 2016-07-27 21:42 - 2016-07-27 21:42 - 00238187 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.html 2016-07-27 21:42 - 2016-07-27 21:42 - 00001659 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.txt Ta infekcja nie zmienia rozszerzenia zaszyfrowanych plików, więc na pierwszy rzut oka nie da się ocenić czy i które dane podlegały szyfrowaniu. Ale skoro są notatki ransom, to sugeruje że dane są zaszyfrowane. Sprawdź obojętny plik graficzny czy da się otworzyć. Jeśli nie, dane są zaszyfrowane. Nie ma możliwości odkodowania. Moja rola ewentualnie ograniczyłaby się tu do deinstalacji starych wersji programów (jedna z dróg infekcji szyfrujących dane) i usunięcia notatek ransom. To nie rozwiąże problemu zaszyfrowanych danych.

Problemem jest zadanie w Harmonogramie: Task: {981D2CFE-F50A-4955-A69D-1B956FABCEA5} - System32\Tasks\b0635940GamesterSpadicesV2 => Rundll32.exe NutletJuridic.dll,main 7 1 Działania do przeprowadzenia: 1. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą odinstaluj odpadek Google Update Helper. 2. To system z nietypowym układem kont i sieciowymi ścieżkami (domena?), więc ręcznie usuń pliki zlokalizowane w tej ścieżce: \\spplfapisp02\profiles\b0635940\AppDataW ... oraz folder odinstalowanego Firefoxa: \\spplfapisp02\profiles\b0635940\AppDataW\Mozilla Poszukaj też odpowiednika "AppData\Local" w ścieżce \\spplfapisp02\profiles\b0635940 i zlokalizowanego w nim folderu GamesterSpadices należącego do PriceFountain. Na wszelki wypadek w skrypcie poniżej załączę też "na oko" standardową ścieżkę lokalną. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2690E24D-3FAA-4DA2-A999-CB315CDF37D9} - System32\Tasks\{68096D73-F096-491E-99EE-D32E0E22A1C3} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {6CB26ACD-A878-4EA4-9B22-E7243A62F4A5} - System32\Tasks\{9B4B3B6B-C47C-4EC0-9B93-C10125AA605C} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {981D2CFE-F50A-4955-A69D-1B956FABCEA5} - System32\Tasks\b0635940GamesterSpadicesV2 => Rundll32.exe NutletJuridic.dll,main 7 1 U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [28272 2016-08-16] () S1 epp; \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\...\Run: [] => [X] Startup: \\spplfapisp02\profiles\b0635940\AppDataW\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk [2016-08-16] HKU\S-1-5-21-1463549253-2724516119-1591476449-153512\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-1463549253-2724516119-1591476449-153512\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1463549253-2724516119-1591476449-153512 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1463549253-2724516119-1591476449-153512 -> {ADB0247F-BFFA-4782-98CE-6AB62EE9DF11} URL = DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Plumbytes Software C:\Program Files\SecureAge C:\Program Files (x86)\Google C:\Users\b0635940\AppData\Local\*.tmp.* C:\Users\b0635940\AppData\Local\file C:\Users\b0635940\AppData\Local\GamesterSpadices C:\Users\b0635940\AppData\Local\Setup1460559 C:\Windows\system32\scan.db C:\Windows\System32\drivers\TrueSight.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {089AD0BE-1190-4059-B584-4F3D4A062577} - System32\Tasks\{AC919971-A2DB-4E97-9C5F-5211BBEA5303} => pcalua.exe -a C:\Users\Wojtek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=obw Task: {596ED08F-B464-478F-870E-41618E75D4D8} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-07] (AVAST Software) Task: {A5A23C51-8A27-4B40-A28E-B4D5A310572F} - System32\Tasks\Wojtek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Wojtek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== UWAGA HKU\S-1-5-21-735583447-693508571-541323270-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-735583447-693508571-541323270-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-735583447-693508571-541323270-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\.rdata C:\ProgramData\AVAST Software C:\Users\Wojtek\AppData\Local\file__0.localstorage C:\Users\Wojtek\AppData\Roaming\OEKJKLU C:\Windows\system32\FxsTmp C:\Windows\System32\Tasks\AVAST Software C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. GMER możemy sobie darować. Dołącz też plik fixlog.txt.

Owszem, to infekcja routera: Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{65770778-8535-47CE-8DB2-1F9421AD7170}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Z czym konkretnie jest problem? Tu nie ma innego sposobu niż rekonfiguracja routera wg tych kroków:

Problemem są polityki ograniczeń wprowadzone przez adware. Ale to nie jedyny problem w systemie, dużo innych obiektów adware oraz niepożądany program YAC. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: AnySend, BorderlineInit, DNDownloader version 1.2, gupdate 2.00, OpenEnforcer, PC Data App, Software Version Updater, SystemIncrease, Voicify, WindowsMangerProtect20.0.0.722, WinZip, YAC(Yet Another Cleaner!). - Zbędne programy i stare wersje: Akamai NetSession Interface, Apple Software Update, HP Customer Participation Program 13.0, Java 8 Update 45, Obsługa programów Apple. Jeśli coś zwróci błąd, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {29b8df85-56af-474f-9022-e376793679f9}Gw64; C:\Windows\System32\drivers\{29b8df85-56af-474f-9022-e376793679f9}Gw64.sys [48792 2015-01-04] (StdLib) R1 {edf2e803-e64b-4078-9a9f-33672590ad18}Gw64; C:\Windows\System32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gw64.sys [48792 2015-01-01] (StdLib) R2 BirdkissP; C:\ProgramData\Birdkiss\Birdkiss.exe [418688 2016-06-07] () S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer275.exe [235776 2015-12-15] (MustangService) R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [744528 2016-05-16] (Winziper Pvt Ltd.) S2 browserServer_2015.11.03.11.04.21; C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X] S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {32829499-6B83-4615-BE21-AEA2F940E2F2} - System32\Tasks\AmiUpdXp => C:\Users\Admin\AppData\Local\17719\Updater.exe [2014-10-07] () Task: {9E969D2C-C138-4B7E-83BB-108A84B37871} - System32\Tasks\{132BEDF7-6366-40D8-834D-A5FDC99C9F72} => C:\Users\Admin\Desktop\racer\racer.exe Task: {A5052673-1D3D-4780-AAA8-F854138D0F8C} - System32\Tasks\Superclean => c:\programdata\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a}\hqghumeaylnlf.exe [2014-09-07] (Super PC Tools Ltd) Task: {ADABCD7E-7EC1-4F16-ADD8-B30866D53DB3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {B588E03C-92C5-45E1-97FF-5EB243089558} - System32\Tasks\{6598B07A-7682-4568-9C94-BEB6C9B0554F} => C:\Users\Admin\Desktop\racer\racer.exe Task: {D588B0B5-7303-4615-AAB2-5812FD121C4D} - System32\Tasks\{D985C018-567F-4116-B6BE-506F228FE222} => C:\Users\Admin\Desktop\racer\racer.exe Task: {E2F7928F-41DD-486F-A3E8-46D801FBCCB7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {EE611302-E0F3-4F3F-BA1D-3F872D4B41E1} - System32\Tasks\{BAC18E7F-E75E-4989-B006-7786F38BB5C9} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Admin\AppData\Local\17719\Updater.exe Task: C:\Windows\Tasks\Superclean.job => c:\programdata\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a}\hqghumeaylnlf.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\RunOnce: [network_adsafiliadosllhs_1] => "C:\Users\Admin\AppData\Local\Temp\\BI_RunOnce.exe" /initurl hxxp://sub.palatalized.info/init/Ie19xciPz/:uid:? /affid "-" /id "0" /name " " /uniqid Ie19xciPz /uuid 199C0C20-D7DA-11DD-99CA-10C37B4AA1F5 (dane wartości zawierają 82 znaków więcej). HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [2041363484] => "C:\Users\Admin\AppData\Local\Temp\tmp72BF.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1054999252] => "C:\Users\Admin\AppData\Local\Temp\tmp72BF.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1463939348] => "C:\Users\Admin\AppData\Local\Temp\tmpF315.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [1746088086] => "C:\Users\Admin\AppData\Local\Temp\tmpF315.tmp.exe" HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [Opos] => [X] Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookGamesNotifier.exe.lnk [2016-05-25] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-2212758980-1354942390-246654559-1000\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.nicesearches.com?type=hp&ts=1463405341&from=87640516&uid=wdcxwd5000aakx-08u6aa0_wd-wcc2ejlkjteskjtes&z=a47ca08d4e0c5a2c95aa316g6zdq9c8z4edwec2z3o","hxxp://www.mystartsearch.com/?type=hp&ts=1436965155&z=1f712d99055da7080ed5a4fg2z1c2q7tdq2w1geo8q&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416","hxxp://www.oursurfing.com/?type=hp&ts=1432270216&z=48b4fe0e95f4ddf6e0344f7g3z3c0o9odm6eeg0m8g&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416","hxxp://www.oursurfing.com/?type=hppp&ts=1432270246&z=cf23c3280e987c19348302cg0zcccoeo2m6e4oae7g&from=cmi&uid=WDCXWD800BEVS-07RST0_WD-WXE707C7041670416" CHR DefaultSearchURL: Default -> hxxp://super-warez.eu/page/2/ ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1450940068&z=67858b8102269ba6c43edfeg8z7w3e7t3z6e2e6q9q&from=wpm07173&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1431068392&z=781e004cf3a3c109e398da1g2zdcegeecq8bdc8t8z&from=wpm05083&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448624666&z=62009b3b995d19d924aef23gez4z9b6q8o4z1q9qez&from=ient07021&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES HKU\S-1-5-21-2212758980-1354942390-246654559-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431068392&z=781e004cf3a3c109e398da1g2zdcegeecq8bdc8t8z&from=wpm05083&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2EJLKJTESKJTES&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {2FCFD91F-EB04-41B7-BAA4-864D68C7BD5C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {38E70233-995A-40CA-A3E7-773F85BBEA64} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {7789280C-C846-40B3-B6FB-765DE67FF45F} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {A3AE6C6A-7921-4BFD-9D06-CB18BC99D42A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {DEA91A2C-A374-4F4E-AF0E-C8B2A3B08A78} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2212758980-1354942390-246654559-1000 -> {EB14D1A1-CDA2-41E5-B8DB-F6673CBD0EEE} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: Brak nazwy -> {37bb6c9d-3f71-4a2f-aa9d-1a9c4c652c1c} -> Brak pliku BHO-x32: DNS Error Helper -> {9B6B03F1-16CF-4491-BBBB-E872802DD717} -> C:\ProgramData\DNSErrorHelper\bho.dll => Brak pliku FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\autoexec.bat C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\Birdkiss C:\Program Files (x86)\ghokswa Browser C:\Program Files (x86)\VSO C:\Program Files (x86)\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\{30cb99e2-ac34-15bf-30cb-b99e2ac3678a} C:\ProgramData\mntemp C:\ProgramData\Birdkiss C:\ProgramData\TempMoudleSet C:\ProgramData\VSO C:\ProgramData\Media Center Programs\gu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\egzamin2008_gim C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glyph C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Admin\AppData\Local\Temp-log.txt C:\Users\Admin\AppData\Local\17719 C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 3 C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{FBAB6548-FA92-4B6E-960E-7780B9F8EFEC} C:\Users\Admin\AppData\Roaming\Blowfish.dll C:\Users\Admin\AppData\Roaming\Flotsam.XRu C:\Users\Admin\AppData\Roaming\HodmanAnemone.a C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d83cf69024e31ee3\Adam - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Grzesiek - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Adam - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Grzesiek - Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\DreamWorks Dragons Rise of Berk.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Admin\Desktop\Adam\Skype.lnk C:\Users\Admin\Desktop\dysk grześka\Fujitsu-Siemens-Amilo-LI-2727-xp-drivers\sterowniki\Skrót do sterowniki.lnk C:\Users\Admin\Downloads\policy_templates.zip C:\Users\Admin\Downloads\policy_templates (1).zip C:\Users\Admin\Downloads\sh-remover.exe C:\Users\Public\Documents\report.dat C:\Windows\System32\drivers\{29b8df85-56af-474f-9022-e376793679f9}Gw64.sys C:\Windows\System32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gw64.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Video DownloadHelper trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Video Downloader professional. To rozszerzenie wątpliwej reputacji, pochodzące ze stajni znanej z instalacji niepożądanych programów. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Instrukcje są dobierane indywidualnie, skrypty są niepowtarzalne i robione tylko i wyłącznie w oparciu o określone logi, nie "przerabia się" cudzych skryptów. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj starszą wersję Java 8 Update 60 (64-bit) oraz zbędny downloader produktów Autodesk Akamai NetSession Interface. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty szczątek od AVG FMW 1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 avgsvc; C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe [1046952 2015-11-12] (AVG Technologies CZ, s.r.o.) R2 WdMan; C:\ProgramData\XwinpX\WFini.exe [541928 2016-08-15] (WFini LIMITED) R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [427256 2016-08-15] () S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] () Task: {0B2E6EC6-718D-47B6-8947-5DB9221EF925} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () Task: {19E9A5F7-5137-4A0D-A70D-E788B0676341} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\BD651F1F4029A2F22A40BEE7055BB369\Update\BrowserUpdate.exe [2016-04-25] (Tencent) Task: {3352E280-9264-4229-AEC3-E2AE29EDEB63} - System32\Tasks\{EBB87DF7-8C09-4EA5-878C-B76032DE54FC} => pcalua.exe -a C:\Users\admin\AppData\Local\Akamai\uninstall.exe Task: {CBBF56FA-BA14-4502-A150-C7251E712DC7} - System32\Tasks\{36CA5291-BB5C-43E6-B28E-903372C4C1D1} => pcalua.exe -a "C:\Program Files\AutoCAD 2009\acad.exe" -d "C:\Program Files\AutoCAD 2009\UserDataCache\" Task: {D8BF545C-249A-40FE-9466-CDBBB59F0220} - System32\Tasks\{1BA3E7C9-8F28-4763-8729-0777AE3D01F2} => pcalua.exe -a E:\Installation\hpdj111series\Core.exe -d E:\Installation\hpdj111series Task: {D9BCC7B8-B18E-4FE5-A79F-080F5A77011D} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 Edge HomeButtonPage: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080 CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080" CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 FF HKLM\...\Firefox\Extensions: [pdfsam_enhanced_conv@pdfsam.com] - C:\Program Files\PDFsam Enhanced\resources\pdfsamenhancedfirefoxextension FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080 HKLM-x32\...\Run: [V0770Mon.exe] => C:\WINDOWS\V0770Mon.exe HKLM-x32\...\Run: [AvgUi] => C:\Program Files (x86)\AVG\Framework\Common\avguix.exe [1136552 2015-11-12] (AVG Technologies CZ, s.r.o.) C:\Program Files (x86)\AVG C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\TXQQBrowser C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinZipper C:\ProgramData\ChelfNotify C:\ProgramData\Nero C:\ProgramData\uckt C:\ProgramData\Uncheckit C:\ProgramData\XwinpX C:\Users\admin\AppData\Local\Unity C:\Users\admin\AppData\LocalLow\Unity C:\Users\admin\AppData\Roaming\eCyber C:\Users\admin\AppData\Roaming\Nero C:\Users\admin\AppData\Roaming\Uncheckit C:\Users\admin\AppData\Roaming\WinZiper C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.0.lnk C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\EN_*.html C:\WINDOWS\SysWOW64\pl4.exe C:\WINDOWS\SysWOW64\_SSpm CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowane rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

To co notuje GMER to usługa Inteligentnego transferu w tle i nie wygląda to na infekcję per se. Podobny wątek: KLIK. W raportach FRST widać tylko crack aktywacyjny: KLIK. Crack ten będzie budził zastrzeżenia u określonych skanerów. R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-08-10] () [Brak podpisu cyfrowego] Task: {304D9080-AA43-4F06-8839-E4AFB8D7A9F5} - System32\Tasks\R@1n-KMS\Office16Mondo => wmic [Argument = path SoftwareLicensingProduct where (ID="9caabccb-61b1-4b4b-8bec-d10a3c3ac2ce") call Activate] 2016-08-10 18:16 - 2016-08-10 18:16 - 00000000 ____D C:\Windows\System32\Tasks\R@1n-KMS 2016-08-10 18:15 - 2016-08-10 18:15 - 00026112 _____ C:\Windows\KMS-R@1n.exe 2016-08-10 18:15 - 2016-08-10 18:15 - 00005120 _____ C:\Windows\KMS-R@1nHook.exe 2016-08-10 18:15 - 2016-08-10 18:15 - 00004096 _____ C:\Windows\KMS-R@1nHook.dll

Brak związku z infekcją, a jedyne co ewentualnie kojarzy mi się z blokadą instalacji od strony software, to zbyt przedsiębiorczy Comodo Internet Security, ale on był instalowany dopiero wczoraj, a problem jest "od kilku dni". Temat przesuwam na diagnostykę do działu Hardware.

Odgrzebałam stary temat przy sprzątaniu. To nie była infekcja routera, a próba edycji rejestru kompletnie niezasadna: O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}: DhcpNameServer = 7.254.254.254 To jest poprawny adres od instalacji Tunngle: W raporcie FRST Addition: Tunngle beta (HKLM-x32\...\Tunngle beta_is1) (Version: - Tunngle.net GmbH) Nie wystarczy tylko sprawdzać IP na Whois i ferować wyrok na podstawie niepolskiej lokalizacji, należy też szukać go na Google. Temat sprzed dwóch lat. Zamykam.

Odgrzebałam stary temat przy sprzątaniu. To nie była infekcja routera: Tcpip\..\Interfaces\{5F353FB7-2B12-4087-ADFF-36E25A752653}: [DhcpNameServer] 7.254.254.254 To jest poprawny adres od instalacji Tunngle: W raporcie FRST Addition: Tunngle (HKLM-x32\...\Tunngle_is1) (Version: 5.2 - Tunngle.net GmbH) Nie wystarczy tylko sprawdzać IP na Whois i ferować wyrok na podstawie niepolskiej lokalizacji, należy też szukać go na Google. Temat sprzed roku, więc nieaktualny. Zamykam.

Brak trzeciego obowiązkowego pliku FRST Shortcut. Uzupełnij.

Akcja pomyślnie wykonana. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Masowa infekcja adware systemu, w tym infekcja DNS i WMI. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP: Amazon 1Button App, Body Text Feathering, ContentPush, GameLauncher, HPSewil, shopperz, trotux - Uninstall (2 pozycje), TTWiFi 1.0.0.1. Przy okazji odinstaluj też zbędny słaby skaner Trojan Remover 6.9. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner i sprawdź czy jest plik deinstalacyjny. Jeśli jest, z prawokliku "Uruchom jako administrator". Ale pliku może nie być, bo próbował go załatwić ESET: C:\Program Files (x86)\MPC Cleaner\Uninstall.exe odmiana zagrożenia Win32/MPCCleaner.A potencjalnie niepożądana aplikacja wyleczony przez usunięcie Niezależnie od tego czy będą jakieś błędy (wejścia wyglądają na częściowo zdewastowane), kontynuuj do kolejnych punktów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: R2 HPSewil Service; C:\Users\edward\AppData\Roaming\HPSewil\HPSewilSrv2.exe [1047040 2016-08-12] (GrassWine Brick) [brak podpisu cyfrowego] R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-12] (DotC United Inc) R2 nyveqixozbt; C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3\knscF77A.tmp [276480 2016-08-12] () [brak podpisu cyfrowego] R2 SoEasySvc; C:\Program Files (x86)\SoEasySvc\SoEasySvc.exe [214168 2016-08-12] (TODO: ) R2 zigipyro; C:\Users\edward\AppData\Local\0152F095-1471041237-E411-85C7-F0761C8993C3\qnst96BF.tmp [158720 2015-12-26] () [brak podpisu cyfrowego] S2 ProntSpooler; "C:\Users\edward\AppData\Local\Apps\2.0\abril.exe" [X] R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] Task: {22289A4E-5E16-4EA8-8EC3-AE82162DDC2E} - System32\Tasks\bku2198616922750165 => Rundll32.exe "C:\Users\edward\AppData\Local\Temp\ZQMOKRVGPC_513140\BBYqZMh.DLL",#62 o6se6f8ny9z83aq Task: {73AA45EC-F7C3-41B3-BDB7-2B711973C852} - System32\Tasks\b2929b72a96a471893ecaa9c51368bae => C:\Program Files (x86)\jiiB5D1\gnpBBEB.bat [2016-08-12] () Task: {DE446CBD-E648-4042-ABEE-9A5407483394} - System32\Tasks\Ghmersevversp Monitor => C:\Program Files (x86)\Tafleclwther\ghmMntVevary.exe [2016-08-12] () Task: C:\Windows\Tasks\bku2198616922750165.job => C:\Users\edward\AppData\Local\Temp\ZQMOKRVGPC_513140\BBYqZMh.DLL ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\edward\AppData\Local\Microsoft\Windows\INetCookies\zjiry.dll [370176 2016-08-12] () HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\...\Run: [] => [X] HKLM-x32\...\RunOnce: [update] => C:\Users\edward\AppData\Roaming\ASPackage\ASPackage.exe /runonce HKU\S-1-5-21-2574603618-2478407198-2579358465-1001\...\Run: [seviler] => C:\Users\edward\AppData\Roaming\GameLauncher\Seviler\Seviler.exe [604672 2016-08-11] () Tcpip\..\Interfaces\{12F32C02-C6AE-454B-AE7C-47E8A1595051}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{144AFE9A-FC9D-4AC7-A4B2-21EDFFEAEC28}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{1F9D6780-BEED-435D-8BDB-BDC102B3A669}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{72477396-7FBE-4FA5-BD9A-8E3856AA979B}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8E5AE552-CD48-4D48-8476-D09B563469F7}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{A29D54B5-13A4-4B8E-9B30-DD4F6C02B118}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{bbed3e08-0b41-11e3-8249-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{D6A2DEAF-0B7D-4A00-B9EA-877187A98F92}: [NameServer] 104.197.191.4 ShortcutWithArgument: C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Yhid C:\Program Files\YhidUn C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3 C:\Program Files (x86)\ContentPush C:\Program Files (x86)\jiiB5D1 C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\SoEasySvc C:\Program Files (x86)\Tafleclwther C:\Program Files (x86)\Tafleclwther_ C:\Program Files (x86)\ttwifi C:\Program Files (x86)\WeatherChickn C:\ProgramData\*.bat C:\ProgramData\AVAST Software C:\ProgramData\WindowsMsg C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\Users\edward\AppData\Local\0152F095-1471041237-E411-85C7-F0761C8993C3 C:\Users\edward\AppData\Local\comapyreawecultetesp C:\Users\edward\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\edward\AppData\Local\Tempfolder C:\Users\edward\AppData\Local\Microsoft\Windows\INetCookies\zjiry.dll C:\Users\edward\AppData\Roaming\Installer.dat C:\Users\edward\AppData\Roaming\InstallationConfiguration.xml C:\Users\edward\AppData\Roaming\ContentPush C:\Users\edward\AppData\Roaming\GameLauncher C:\Users\edward\AppData\Roaming\Geunfy C:\Users\edward\AppData\Roaming\GowvePitpagf C:\Users\edward\AppData\Roaming\HPSewil C:\Users\edward\AppData\Roaming\MCorp C:\Users\edward\AppData\Roaming\UPUpdata C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*oo*le*.lnk C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

SpyHunter to program niepożądany, wątpliwej reputacji! Jeśli rzecz o zodiac-game.info, problemem jest wpis Harmonogramu przeładowujący modyfikację rejestru w kluczu Run. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj McAfee Security Scan Plus (sponsor Adobe Flash) oraz SpyHunter v4.22.8.4668. Następnie, niezależnie od tego czy standardowa deinstalacja SpyHunter się powiedzie, zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-120819078-4178527670-4014732985-1000\...\Run: [Lyssa] => explorer.exe hxxp://kb-ribaki.org Task: {30E5DDA7-28E8-490B-A6F0-05C66329315A} - System32\Tasks\Lyssa => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Lyssa /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" BHO: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku BHO-x32: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku C:\Users\Lyssa\Downloads\*-dp*.exe C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Jeszcze drobna poprawka na odpadki pozostawione po deinstalacji programów Facebook i Java. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\Run: [Facebook Update] => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2016-06-10] (Facebook Inc.) Task: {1FEC8C1B-496F-4354-9073-6EC089766655} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000UA => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [2016-06-10] (Facebook Inc.) Task: {704DBDE0-02CC-489B-B88D-91BE65AE80C1} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000Core => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe [2016-06-10] (Facebook Inc.) Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000Core.job => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1647462393-2480976863-1240803015-1000UA.job => C:\Users\pcc\AppData\Local\Facebook\Update\FacebookUpdate.exe C:\Program Files\Java C:\Program Files (x86)\Java C:\Users\pcc\AppData\Local\Facebook Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Ostatnie kroki. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu D:\Nowy folder. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko. I wielkie dzięki za ewentualne wsparcie!

Potwierdzam rozwiązanie problemu z profilem Google Chrome. Obecnie jest tak jak powinno być, czyli stoi profil domyślny Default jako domyślny. Widzę że wrócił na miejsce Avast i jak sądzę teraz już nie miał zastrzeżeń do instalacji Google Chrome. Drobne czynności końcowe, tzn. usunięcie szczątków po odinstalowanym Comodo (foldery na dysku i strumienie ADS) oraz profilu odinstalowanego Firefox. Otwórz Notatnik i wklej w nim: AlternateDataStreams: C:\WINDOWS\system32\aclui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\acmigration.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakra.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakradiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Chakrathunk.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\CloudExperienceHost.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DataSenseHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DeveloperOptionsSettingsHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\difx64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DPTopologyApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DPTopologyAppv2_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\edgehtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\fbnative.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\GdiPlus.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\GfxUIEx.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Gfxv2_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Gfxv4_0.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\iertutil.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxCUIService.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxEM.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxext.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxHK.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\igfxTray.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\indexeddbserver.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\IntelCpHDCPSvc.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\IntelWiDiUMS64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\LaunchWinApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\lsasrv.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MRT.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mshtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mspaint.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\offlinelsa.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers_Bluetooth.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SettingsHandlers_nt.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\shell32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\shutdownux.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SystemSettings.UserAccountsHandlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\twinui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\urlmon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32k.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32kbase.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32kfull.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\win32u.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.Shell.Search.UriHandler.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Search.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Shell.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\aclui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakra.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakradiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Chakrathunk.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\edgehtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\GdiPlus.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\iertutil.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\igd12umd32.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\SysWOW64\indexeddbserver.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\IntelCpHeciSvc.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\LaunchWinApp.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mshtml.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mspaint.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\offlinelsa.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\shell32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\twinui.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\urlmon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32k.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32kfull.sys:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\SysWOW64\win32u.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.Shell.Search.UriHandler.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Search.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\cng.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\eubakup.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\EUBKMON.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\eudskacs.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\EuFdDisk.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ksecpkg.sys:$CmdTcID [64] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\VTRoot RemoveDirectory: C:\Users\Dawid B\AppData\Local\Mozilla\Firefox RemoveDirectory: C:\Users\Dawid B\AppData\Roaming\Comodo RemoveDirectory: C:\Users\Dawid B\AppData\Roaming\Mozilla\Firefox RemoveDirectory: C:\WINDOWS\System32\Tasks\COMODO Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy plik fixlog.txt. Nowe skany FRST nie są już potrzebne.

Poproszę o zrzut ekranu jak ten komunikat wygląda i co właściwie na nim jest. W raportach nie widzę konkretnego wpisu powiązanego z tym zachowaniem, choć i tak jest co czyścić (instrukcje poniżej). Drugie pytanie: co było robione za pomocą programu OTL, jaki skrypt był uruchamiany? Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare programy i zbędniki: Bing Bar, Facebook Video Calling 3.1.0.521, HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 77 (64-bit), Java 8 Update 77, Real Alternative 2.0.2. - Uruchom Program Install and Uninstall Troubleshooter i zajego pomocą usuń ukryty wpis Metric Collection SDK 35 (po niechcianej instalacji Lenovo). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\CurrentVersion\Windows: [Load] C:\Users\pcc\LOCALS~1\Temp\mstyxgcuo.pif HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\...\Policies\Explorer: [] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = www.bing.com SearchScopes: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-04] R1 avgtp; C:\windows\system32\drivers\avgtpx64.sys [50976 2014-08-15] (AVG Technologies) S3 cpuz136; \??\C:\windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] Task: {02FA39FD-DFE1-44C6-AB89-9D1B09975B14} - System32\Tasks\{8AD4B995-0AD5-4517-B5A7-6F44C22F4034} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {07862DC4-927F-4DBB-9649-16A814197BA8} - System32\Tasks\{CCD3D25B-C4D9-4664-9865-88C9B2FBF856} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {07C71F3B-DEE2-4EEE-8B04-93E4B392A255} - System32\Tasks\{D12469C1-2FC4-425E-9A14-A6FFFD3B2D2D} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {09668005-4FC7-4F08-BF0C-1AD9A27505CB} - System32\Tasks\{1A564D90-04EC-4B1D-B2F9-C6728CDFDFCA} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {143562C8-83A2-4A65-8F8C-8F53CEB16302} - System32\Tasks\{5F1CA3AA-7A13-4645-AD89-23503A1F4C0C} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {1C566971-5AD5-4427-A4F4-C38E62FF3644} - System32\Tasks\{3F430B8C-6681-4FEF-811B-AF1F3457A76F} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {1D5E64CD-2A82-4982-98F3-FEA99EF51981} - System32\Tasks\{F5184DC8-E0B0-4A16-AD8C-66455226C605} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {2133B9BE-ADBE-496E-870A-1FDBA022D8D9} - System32\Tasks\{CCD49F6C-B4A9-44B2-AB02-4078A70C65BC} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {2202DC82-A0E8-4906-AE01-8BEF18ED3F42} - System32\Tasks\{ACD7073F-9015-4E3E-ABFE-3126AB8F19B7} => pcalua.exe -a C:\Users\pcc\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {24D0E333-F647-4CBA-89E8-11DE688672C6} - System32\Tasks\{4C46945D-EB79-43BD-9529-5FC7196F23C2} => pcalua.exe -a "C:\Users\pcc\Downloads\Worms 3D\SetupReg.exe" -d "C:\Users\pcc\Downloads\Worms 3D" Task: {253BAF50-A40C-4D86-B45C-64D79AC4FCF4} - System32\Tasks\{E7DDEBD7-D788-4034-A742-AB543671C8B2} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {26F306E4-52D0-45DE-A1D7-FA3C11DCB54D} - System32\Tasks\{762A3D58-C777-4948-875A-24B93D0234BA} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {2FEE03BE-8D4D-4741-BC96-CF0CABFEBF6F} - System32\Tasks\{55BAD1D0-BB26-46C5-A99A-76EDF380642E} => C:\Users\pcc\Farming Simulator 2015\x86\FarmingSimulator2015Game.exe Task: {3017946D-3B1D-4532-B83D-437417DC0AB4} - System32\Tasks\{0F84A58E-FA53-4903-90D5-725F6AF84732} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {43ACF6C5-4045-43F7-BDEB-9C6667F29C9E} - System32\Tasks\{07766880-3BFB-4CBB-9C3E-70929321EA10} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {49A180FE-7F6C-4826-BDDC-3BF1C3252D2D} - System32\Tasks\{F5D43614-BF71-4FE0-ABE4-993C5DF787D2} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {4C2EAAB6-1331-4E64-A78C-156AFD20E965} - System32\Tasks\{6601E1ED-8D6D-46A9-9DC7-CAFEE6D99085} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {4C83AD88-CEEB-4B53-824D-968EFCCCF554} - System32\Tasks\{A7B8956D-E12C-4DD8-97CF-7940CD186871} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {597689CC-A418-4D57-AE87-20232CFB90C0} - System32\Tasks\{866A2F12-B300-4E85-A44F-5FBCDF8B4083} => C:\Program Files (x86)\GTA SA\Gta_sa.exe Task: {676FF599-6FD1-44A6-BD14-53F8C8B10639} - System32\Tasks\{11715649-2583-4E1D-A6A6-F4E2C8CAD082} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {6ABB2754-6C5E-4153-899B-591690CE6BA6} - System32\Tasks\{ECB0109C-7AC9-4B81-9168-E5B4120A3DE0} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {7C81E7CD-3061-49C7-9B56-BF68F93AFCF0} - System32\Tasks\{5756E078-1362-4804-80DA-03ABEFD2F16F} => D:\Train Simulator 2015\RailWorks.exe Task: {8AC56FB8-21F9-499D-A713-465DA555BCB7} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {921C48F9-93CB-49C4-B6C6-48B8A2CE8CF1} - System32\Tasks\{513A2BF3-21AD-4885-B591-0754E19C70BE} => pcalua.exe -a "C:\Program Files (x86)\NSR_Stage_1\uninst.exe" Task: {922F1385-6C61-4333-A268-4F7C65D7BF3B} - System32\Tasks\{D7E0F0BE-1604-4BB3-AA75-FD5E47A8366D} => C:\Users\pcc\kuba\Grand Theft Auto IV full game PC + Multiplayer ^^nosTEAM^^\Grand Theft Auto IV\LaunchGTAIV.exe Task: {A51254D3-2444-4BDB-B6F0-7E92D16061C0} - System32\Tasks\{6BCD8E52-AA8F-46BF-A7F6-0CBE90831C29} => C:\Program Files (x86)\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe Task: {ACA08BF3-2350-4369-AE84-E8E2DCADCD9B} - System32\Tasks\{704CD5A9-5E06-4B06-919A-4D0E78EA6086} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {B3128809-A0BD-49C8-9F7C-82D8A9239FBA} - System32\Tasks\{17D0E8FE-624A-4827-A58E-A14F773BC60E} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {BBE94C15-601E-4E3B-BC7B-7AD15AA93204} - System32\Tasks\{EFA45F49-6F6F-4451-ABFF-A9680529D082} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {BC51609D-D250-4D83-9153-430B6717BAC9} - System32\Tasks\{C983E86B-C3C6-465C-8B73-6F18A5FE4764} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {BD272AB3-511F-4D10-AA20-3EB29A19D5E6} - System32\Tasks\{7D8EDE4C-12DA-4B96-8431-AA7C1DA261F9} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {C15A2EEC-A5E0-4AE5-B548-FD39B1BC249A} - System32\Tasks\{8F9142A0-FD09-43D6-ADBD-56DFAA4BBC90} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {C3F55AA8-84F3-4D0B-9800-185E2923CB38} - System32\Tasks\{97A052B6-398F-4C8F-97A9-2401870B13CE} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {C45B65B6-510B-4436-954D-C8A34042DACD} - System32\Tasks\{6F972FBE-A549-4903-A917-F439A87EFD87} => C:\Users\pcc\Downloads\Edytor_Tekstu (1).exe Task: {D296A5BF-2D69-4BA4-9D77-A02C85E1AD3C} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {DFD7FECB-FAE1-4423-90BF-475BC638565D} - System32\Tasks\{E54AA1E0-7643-4C47-B059-DB4C2B1FC21C} => C:\Users\pcc\Downloads\Edytor_Tekstu.exe Task: {E8FC6AE7-D882-47AF-95DD-4DCB024A2AAD} - System32\Tasks\{48BC2671-B74C-4610-956A-D85DE3B438C3} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {EC6F7936-9D68-4BA5-AFC2-2BAE7B149AB3} - System32\Tasks\{EAC6FFBC-AA32-4B27-BFFD-B5431E691A4D} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {EE06EFC2-6481-483D-835C-D7E60CB67F39} - System32\Tasks\{E013120E-9679-4C02-904D-C702078F573E} => pcalua.exe -a "C:\Program Files (x86)\ShopperPro\SPremove.exe" Task: {F0C69E25-3026-47B0-8A87-0AE469F8A574} - System32\Tasks\{D0A4E922-959C-4C8E-9E76-6CD2A8F339F9} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe Task: {FF46EA4D-2DB5-4454-BCCA-BEE9F05F05CC} - System32\Tasks\{B829C2F4-D92E-4F79-81E4-65DFF386A544} => C:\Users\pcc\Karol dokumenty\program delphi\Edytor_Tekstu.exe HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Classes\exefile: HKU\S-1-5-21-1647462393-2480976863-1240803015-1000\Software\Classes\.exe: exefile => DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\DLL Suite C:\Program Files (x86)\DllTool C:\Program Files (x86)\Lenovo C:\ProgramData\1441394140.bdinstall.bin C:\ProgramData\1441394392.bdinstall.bin C:\ProgramData\1441394395.bdinstall.bin C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall Messenger for Desktop.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{F5E88F43-1E40-4D96-92E5-D1DF03ECC7DE} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{f5aa5b6a-a384-422b-a907-d999459ba78e} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{c0ece13b-586f-4a9f-97b9-c4ce9580cdb8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{adbbcb61-5032-4d77-bed4-7c74d86c07b8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{858832fa-2921-4f05-ab02-1e13a842ae39} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{7ad64128-be81-4f69-9356-9934f0d3c5b8} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{56e56f32-3715-450b-aa67-5bcd65a3a212} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{367a1a34-e291-466e-b1c8-0380d1b3646c} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{34effc27-0104-4012-af9a-331b3ddfb271} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{32aea27d-498e-4ee7-86da-127272427b0c} C:\Users\pcc\AppData\Local\Microsoft\Windows\GameExplorer\{1dd28cf6-954c-426b-a6cb-f704e09f6689} C:\Users\pcc\AppData\Local\Lenovo C:\Users\pcc\AppData\Local\Mozilla C:\Users\pcc\AppData\Roaming\Mozilla C:\Users\pcc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\pcc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NIEOFICJALNE SPOLSZCZENIE PES2013 v.1.1 C:\Users\pcc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\pcc\Favorites\GG dysk.lnk C:\Users\pcc\Links\GG dysk.lnk C:\Windows\System32\drivers\avgtpx64.sys C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tzw. Rocznicowa aktualizacja Windows 10 (Wersja 1607) wprowadza Edge 38.14393.0.0 obsługujące rozszerzenia. Dodałam wstępny opis tej części.

Prawoklik na plik C:\Windows\system32\lusrmgr.msc > Uruchom jako Administrator > powinna uruchomić się przystawka zarządzania lokalnymi kontami, z poziomu której można alternatywnie przeprowadzić dodawanie lokalnego konta.